Compartición Limitada de Información con Colaboradores Autorizados
Tabla de contenido
Compartición Limitada de Información con Colaboradores Autorizados
Principio General de Compartición Limitada
Diferencia entre Encargados del Tratamiento y Destinatarios Independientes
Proveedores de la Plataforma Shopify
Proveedores de Pago y Entidades Financieras
Empresas de Transporte y Logística
Proveedores de Atención al Cliente
Proveedores de Correo Electrónico y Comunicaciones
Servicios de Seguridad y Prevención del Fraude
Proveedores de Alojamiento, Mantenimiento y Soporte Técnico
Proveedores de Analítica y Medición
Administraciones Públicas y Autoridades Competentes
Procedimientos Judiciales y Defensa de Reclamaciones
Operaciones Societarias o Reorganización del Negocio
Prohibición de Venta Indiscriminada de Datos
Base Jurídica de la Compartición
Contratos con Encargados del Tratamiento
Subencargados y Cadenas de Proveedores
Personal Autorizado y Confidencialidad
Medidas Técnicas y Organizativas
Incidentes y Violaciones de Seguridad
Transferencias Internacionales de Datos
Datos Compartidos por el Usuario con Terceros
Datos de Categorías Especiales
Conservación por los Colaboradores
Exactitud y Actualización de la Información
Derechos de las Personas Interesadas
Solicitudes Dirigidas a un Proveedor
Oposición a Determinadas Comunicaciones
Transparencia sobre los Destinatarios
Responsabilidad de los Colaboradores
Limitaciones de la Compartición
La presente página explica en qué circunstancias oaksera.com puede facilitar un acceso limitado a determinados datos personales a proveedores, colaboradores profesionales, plataformas tecnológicas, operadores logísticos y otras entidades autorizadas.
La información personal no se vende ni se pone a disposición de terceros de forma indiscriminada. Los datos únicamente se comunicarán, transmitirán o pondrán a disposición de terceros cuando exista una finalidad determinada, una base jurídica válida y una necesidad real vinculada al funcionamiento del sitio web, la gestión de pedidos, el cumplimiento de obligaciones legales, la seguridad de las operaciones o la prestación de un servicio solicitado por el usuario.
El tratamiento se realizará conforme al Reglamento (UE) 2016/679, General de Protección de Datos (RGPD), la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico, y las demás normas españolas y europeas aplicables.
Principio General de Compartición Limitada
oaksera aplicará los principios de licitud, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad, confidencialidad y responsabilidad proactiva.
Esto significa que cada colaborador autorizado recibirá únicamente los datos razonablemente necesarios para desarrollar la función concreta que le haya sido asignada.
No se proporcionará acceso general a toda la información disponible cuando la finalidad pueda cumplirse utilizando una cantidad menor de datos.
Por ejemplo, un transportista podrá necesitar el nombre del destinatario, la dirección de entrega, un teléfono de contacto y la información logística del paquete, pero no necesitará conocer las credenciales de acceso del usuario, el contenido completo de sus comunicaciones con atención al cliente ni otros datos ajenos a la entrega.
Diferencia entre Encargados del Tratamiento y Destinatarios Independientes
No todos los terceros que intervienen en la actividad del sitio web tienen la misma posición jurídica.
Algunos colaboradores actúan como encargados del tratamiento. Esto significa que tratan datos personales por cuenta de oaksera y siguiendo instrucciones documentadas, sin poder utilizar la información para sus propias finalidades incompatibles.
Otros terceros podrán actuar como responsables independientes cuando determinen por sí mismos los fines y medios de determinados tratamientos. Este supuesto puede darse, por ejemplo, respecto de ciertas entidades bancarias, proveedores de pago, organismos públicos, autoridades fiscales o transportistas que deban tratar información conforme a obligaciones legales propias.
La calificación jurídica dependerá de las funciones efectivamente realizadas y no únicamente de la denominación incluida en un contrato.
Proveedores de la Plataforma Shopify
El sitio web ha sido creado utilizando la infraestructura tecnológica de Shopify. Para permitir el alojamiento, la administración de contenidos, el funcionamiento de la tienda, la gestión de sesiones, el carrito de compra, la tramitación de pedidos y la seguridad de la plataforma, determinados datos podrán ser tratados mediante los sistemas de Shopify y sus proveedores técnicos autorizados.
El acceso se limitará a la información necesaria para prestar las funcionalidades contratadas, mantener la disponibilidad técnica, prevenir abusos, resolver incidencias y cumplir obligaciones legales.
La utilización de Shopify no significa que Shopify sea el vendedor de los productos ofrecidos en oaksera.com ni que asuma las obligaciones comerciales propias del operador de la tienda.
Proveedores de Pago y Entidades Financieras
Cuando el usuario realiza un pago, determinados datos podrán ser tratados por proveedores de servicios de pago, entidades bancarias, emisores de tarjetas, redes de pago, sistemas de autenticación y herramientas de prevención del fraude.
La información compartida podrá incluir, según el método de pago seleccionado:
- Nombre del titular de la operación.
- Importe y moneda del pedido.
- Identificador de la transacción.
- Fecha y estado del pago.
- Dirección de facturación.
- Información técnica necesaria para la autenticación.
- Indicadores relacionados con la prevención del fraude.
oaksera no necesita almacenar ni visualizar necesariamente los datos completos de la tarjeta bancaria cuando el pago es procesado directamente por una plataforma especializada.
Los proveedores de pago podrán efectuar sus propios controles de identidad, autenticación, cumplimiento normativo, prevención del blanqueo de capitales y seguridad financiera cuando estén legalmente obligados a ello.
Empresas de Transporte y Logística
Para preparar, enviar, localizar y entregar los pedidos, podrán facilitarse datos limitados a empresas de almacenamiento, preparación de pedidos, transporte, distribución, mensajería y logística inversa.
Los datos utilizados podrán incluir:
- Nombre y apellidos del destinatario.
- Dirección de entrega.
- Código postal y localidad.
- Número de teléfono de contacto.
- Correo electrónico cuando sea necesario para avisos de entrega.
- Número o referencia del envío.
- Número de paquetes.
- Dimensiones, peso o características logísticas del pedido.
- Instrucciones razonables relacionadas con la entrega.
Estos colaboradores no estarán autorizados a utilizar los datos para enviar publicidad propia ni para finalidades distintas de la gestión logística, salvo que exista una base jurídica independiente y se informe directamente al interesado.
Proveedores de Atención al Cliente
Cuando se utilicen herramientas externas para gestionar consultas, incidencias, devoluciones o reclamaciones, dichos proveedores podrán acceder a los datos necesarios para registrar y responder las comunicaciones.
La información podrá comprender el nombre, correo electrónico, número de pedido, contenido de la consulta, historial de comunicaciones y documentos aportados voluntariamente por el usuario.
El acceso deberá limitarse al personal autorizado que necesite conocer la información para tramitar la solicitud.
Proveedores de Correo Electrónico y Comunicaciones
Determinados proveedores podrán intervenir en el envío de confirmaciones de pedido, avisos operativos, comunicaciones sobre entregas, recuperación de acceso, respuestas de soporte y otras notificaciones relacionadas con la relación contractual.
Los datos facilitados se limitarán normalmente al nombre, dirección de correo electrónico, contenido necesario de la comunicación y datos técnicos de entrega del mensaje.
Las comunicaciones comerciales no se enviarán únicamente por existir una relación con un proveedor tecnológico. Cuando la legislación exija consentimiento u otra base jurídica específica, se aplicará el requisito correspondiente.
Servicios de Seguridad y Prevención del Fraude
Para proteger a los usuarios, detectar pagos no autorizados, prevenir ataques, identificar comportamientos automatizados abusivos y mantener la integridad del sitio, podrán utilizarse proveedores especializados en seguridad y prevención del fraude.
Estos proveedores podrán tratar datos como:
- Dirección IP.
- Información del navegador y dispositivo.
- Hora y patrón de acceso.
- Identificadores técnicos.
- País o región aproximada.
- Información básica de la operación.
- Señales técnicas de riesgo o fraude.
Las señales automáticas de riesgo no deberán utilizarse de forma indiscriminada ni producir decisiones injustificadas que vulneren los derechos del interesado.
Cuando una decisión automatizada produzca efectos jurídicos o afecte significativamente al usuario, se aplicarán las garantías exigidas por el RGPD, incluida la intervención humana cuando corresponda.
Proveedores de Alojamiento, Mantenimiento y Soporte Técnico
Los proveedores de alojamiento, almacenamiento, copias de seguridad, mantenimiento de software, supervisión técnica y resolución de incidencias podrán tener acceso potencial a determinados sistemas que contienen datos personales.
Este acceso deberá limitarse a las tareas técnicas necesarias y estará sujeto a controles de autorización, deberes de confidencialidad y medidas de seguridad adecuadas.
Los técnicos no estarán autorizados a consultar datos personales por mera curiosidad ni a utilizarlos para finalidades ajenas a la prestación del servicio contratado.
Proveedores de Analítica y Medición
Cuando se utilicen herramientas de analítica o medición, se procurará configurar su funcionamiento de manera proporcionada y respetuosa con la privacidad.
Las tecnologías no estrictamente necesarias se activarán únicamente cuando exista la base jurídica exigida y, cuando corresponda, después de que el usuario haya prestado su consentimiento mediante el panel de configuración de cookies.
La información podrá incluir datos técnicos sobre navegación, páginas consultadas, duración de la sesión, errores de funcionamiento, dispositivo utilizado y procedencia aproximada de la visita.
Siempre que sea razonablemente posible, se utilizarán datos agregados, seudonimizados o limitados para reducir la identificación directa del usuario.
Asesores Profesionales
Determinados datos podrán compartirse de forma limitada con abogados, asesores fiscales, contables, auditores, consultores de seguridad, peritos, aseguradoras y otros profesionales sujetos a obligaciones legales o contractuales de confidencialidad.
Este acceso podrá producirse cuando sea necesario para:
- Cumplir obligaciones fiscales, contables o mercantiles.
- Preparar o revisar documentación jurídica.
- Defender o formular reclamaciones.
- Investigar un fraude o incidente de seguridad.
- Gestionar coberturas de seguro.
- Realizar auditorías de cumplimiento.
La información compartida se limitará a la que resulte relevante para el asunto concreto.
Administraciones Públicas y Autoridades Competentes
Los datos personales podrán comunicarse a jueces, tribunales, fuerzas y cuerpos de seguridad, autoridades fiscales, organismos de consumo, autoridades de protección de datos y demás administraciones públicas cuando exista una obligación legal, un requerimiento válido o una base jurídica suficiente.
Antes de atender una solicitud, podrán verificarse su autenticidad, alcance y competencia, salvo que la legislación impida realizar dicha comprobación o exija una actuación inmediata.
No se facilitará información a una persona que se presente como autoridad sin aportar un requerimiento o fundamento verificable cuando este resulte legalmente necesario.
Procedimientos Judiciales y Defensa de Reclamaciones
La información podrá utilizarse o comunicarse cuando sea necesaria para formular, ejercer o defender reclamaciones judiciales o extrajudiciales.
Esto puede incluir la conservación y comunicación limitada de pedidos, comprobantes de pago, registros de entrega, comunicaciones, solicitudes de devolución, direcciones IP, documentos aportados y otros elementos relevantes para acreditar los hechos.
La información no relacionada con la controversia deberá excluirse o limitarse siempre que sea razonablemente posible.
Operaciones Societarias o Reorganización del Negocio
En caso de una posible venta, adquisición, fusión, reorganización, transmisión de activos o cambio de operador, determinados datos podrán ser revisados por asesores y potenciales adquirentes sujetos a obligaciones de confidencialidad.
El acceso previo a la operación deberá limitarse a la información necesaria para evaluar y ejecutar la transacción.
Cuando se produzca un cambio efectivo del responsable del tratamiento, se informará a los interesados conforme a la normativa aplicable.
Prohibición de Venta Indiscriminada de Datos
oaksera no venderá bases de datos personales ni intercambiará información de clientes a cambio de una contraprestación económica para que terceros desarrollen campañas publicitarias propias no solicitadas.
Tampoco se autoriza a los proveedores a combinar los datos recibidos con información obtenida de otras fuentes para crear perfiles comerciales propios, salvo que actúen como responsables independientes, dispongan de una base jurídica válida e informen directamente al interesado.
Base Jurídica de la Compartición
La intervención de colaboradores autorizados podrá basarse, según cada caso, en:
- La ejecución de un contrato o la aplicación de medidas precontractuales.
- El cumplimiento de obligaciones legales.
- El consentimiento válido de la persona interesada.
- La protección de intereses vitales en situaciones excepcionales.
- El cumplimiento de una misión realizada en interés público cuando resulte aplicable.
- El interés legítimo del responsable o de un tercero, siempre que no prevalezcan los derechos y libertades del interesado.
No se utilizará el consentimiento como justificación artificial cuando el tratamiento sea realmente necesario para ejecutar un pedido o cumplir una obligación legal.
Del mismo modo, no se invocará el interés legítimo de manera automática. Cuando sea la base aplicable, se evaluarán la necesidad del tratamiento, los intereses afectados, las expectativas razonables del usuario y las posibles medidas de protección.
Contratos con Encargados del Tratamiento
Cuando un proveedor actúe como encargado del tratamiento, su relación con el responsable deberá estar regulada mediante un contrato, acuerdo o acto jurídico vinculante.
El documento deberá establecer, cuando corresponda:
- El objeto del servicio.
- La duración del tratamiento.
- La naturaleza y finalidad de las operaciones.
- Las categorías de datos personales.
- Las categorías de personas afectadas.
- Las instrucciones documentadas del responsable.
- La obligación de confidencialidad.
- Las medidas de seguridad aplicables.
- Las condiciones para utilizar subencargados.
- La asistencia en la atención de derechos.
- La colaboración en la gestión de incidentes.
- La devolución o eliminación de datos al finalizar el servicio.
- La posibilidad de realizar verificaciones o auditorías razonables.
El encargado no podrá modificar las finalidades del tratamiento por iniciativa propia ni utilizar los datos para intereses incompatibles con las instrucciones recibidas.
Subencargados y Cadenas de Proveedores
Algunos proveedores podrán necesitar la intervención de otros subproveedores para ofrecer alojamiento, comunicaciones, almacenamiento, seguridad o soporte especializado.
Cuando estos subproveedores actúen como subencargados, deberán quedar sujetos a obligaciones de protección de datos equivalentes a las asumidas por el encargado principal.
El proveedor principal seguirá siendo responsable frente al responsable del tratamiento por el cumplimiento de las obligaciones impuestas al subencargado, dentro de los límites establecidos por la legislación.
Personal Autorizado y Confidencialidad
El acceso interno o externo a los datos deberá limitarse al personal que necesite conocerlos para desarrollar sus funciones.
Las personas autorizadas estarán sujetas a deberes legales, profesionales o contractuales de confidencialidad.
Estas obligaciones continuarán siendo aplicables después de finalizar la relación laboral, profesional o comercial cuando así corresponda.
Medidas Técnicas y Organizativas
Se aplicarán medidas de seguridad adecuadas al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza de los datos, el contexto del tratamiento y las posibles consecuencias para las personas afectadas.
Estas medidas podrán incluir:
- Controles de acceso basados en funciones.
- Autenticación y gestión de credenciales.
- Cifrado durante la transmisión cuando corresponda.
- Registro de accesos y operaciones relevantes.
- Copias de seguridad.
- Procedimientos de recuperación.
- Separación lógica de datos.
- Revisión periódica de permisos.
- Protocolos de respuesta ante incidentes.
- Formación y deberes de confidencialidad.
Ninguna medida tecnológica permite eliminar completamente todos los riesgos, pero los proveedores deberán mantener un nivel de seguridad proporcionado a las operaciones realizadas.
Incidentes y Violaciones de Seguridad
Los colaboradores deberán comunicar sin dilación indebida los incidentes que afecten o puedan afectar a datos personales tratados por cuenta del responsable.
La comunicación deberá incluir, cuando sea posible, la naturaleza del incidente, los sistemas afectados, las categorías de datos, las posibles consecuencias y las medidas aplicadas o propuestas.
El responsable evaluará si el incidente debe notificarse a la autoridad de control o comunicarse a las personas afectadas conforme a los plazos y requisitos del RGPD.
Transferencias Internacionales de Datos
Algunos proveedores tecnológicos pueden operar desde países situados fuera del Espacio Económico Europeo o utilizar infraestructura distribuida internacionalmente.
Cuando una operación implique una transferencia internacional de datos, se utilizará un mecanismo válido conforme al RGPD, como:
- Una decisión de adecuación adoptada por la Comisión Europea.
- Cláusulas contractuales tipo aprobadas por la Comisión Europea.
- Normas corporativas vinculantes.
- Otra garantía reconocida por la normativa.
- Una excepción legal aplicable a una situación específica.
Cuando resulte necesario, se evaluará el marco jurídico del país de destino y se adoptarán medidas complementarias técnicas, contractuales u organizativas.
El hecho de que un proveedor tenga presencia internacional no significa por sí solo que todos los datos sean transferidos fuera del Espacio Económico Europeo. La transferencia dependerá de la configuración, ubicación de la infraestructura y condiciones del servicio utilizado.
Datos Compartidos por el Usuario con Terceros
Cuando el usuario introduzca datos de otra persona, por ejemplo, para enviar un pedido a un destinatario distinto, declara que dispone de una base legítima para facilitar esa información.
El usuario deberá proporcionar únicamente los datos necesarios para la entrega y evitar incluir información sensible o irrelevante.
Los datos del destinatario se utilizarán para gestionar el pedido y no se incorporarán automáticamente a listas comerciales.
Datos de Categorías Especiales
El sitio web no solicita de forma general datos relativos a salud, ideología, religión, orientación sexual, origen étnico, afiliación sindical, datos genéticos o biométricos.
Se recomienda no incluir voluntariamente este tipo de información en campos de comentarios, formularios o comunicaciones de soporte salvo que sea estrictamente necesaria.
Cuando se reciba información especialmente sensible de forma incidental, se limitará su acceso y se eliminará o bloqueará cuando no exista una necesidad legítima para conservarla.
Conservación por los Colaboradores
Los encargados del tratamiento conservarán los datos únicamente durante el tiempo necesario para prestar el servicio y cumplir las instrucciones recibidas.
Al finalizar la relación, deberán devolver o eliminar los datos y las copias existentes, salvo que una obligación legal exija su conservación.
Los terceros que actúen como responsables independientes aplicarán sus propios plazos de conservación conforme a las finalidades y obligaciones legales que les correspondan.
Exactitud y Actualización de la Información
Cuando un dato relevante para un proveedor cambie, se adoptarán medidas razonables para actualizarlo cuando resulte necesario y técnicamente posible.
El usuario deberá comunicar las modificaciones importantes, especialmente las relacionadas con el nombre del destinatario, la dirección de entrega, el correo electrónico y el teléfono de contacto.
Cuando el pedido ya se encuentre en una fase avanzada de preparación o transporte, la modificación de los datos logísticos podrá no ser técnicamente posible.
Derechos de las Personas Interesadas
La persona interesada podrá ejercer, cuando corresponda, los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad y retirada del consentimiento.
También podrá solicitar información sobre las categorías de destinatarios a quienes se hayan comunicado sus datos.
Cuando el tratamiento sea realizado por un encargado, este colaborará con el responsable para atender las solicitudes recibidas y no responderá por su cuenta salvo que esté legalmente autorizado o haya recibido instrucciones para hacerlo.
Solicitudes Dirigidas a un Proveedor
Si el usuario presenta una solicitud directamente ante un colaborador que actúa como encargado, dicho colaborador podrá remitirla al responsable del tratamiento.
Cuando el tercero actúe como responsable independiente, deberá atender la solicitud respecto de los tratamientos que determine por sí mismo.
La existencia de varios participantes en una operación no impedirá al usuario dirigirse a oaksera para obtener orientación sobre la entidad responsable del tratamiento concreto.
Oposición a Determinadas Comunicaciones
Cuando la comunicación de datos se base en un interés legítimo, la persona interesada podrá ejercer su derecho de oposición en los términos previstos por el RGPD.
La oposición no impedirá los tratamientos que resulten necesarios para ejecutar un pedido, cumplir una obligación legal, prevenir un fraude o formular, ejercer o defender reclamaciones.
Cuando el tratamiento se base en el consentimiento, este podrá retirarse en cualquier momento sin afectar a la licitud del tratamiento anterior.
Transparencia sobre los Destinatarios
La Política de Privacidad y las páginas relacionadas deberán informar sobre las categorías relevantes de destinatarios.
Cuando resulte legalmente exigible o necesario para garantizar la transparencia, podrá facilitarse información más concreta sobre la identidad del proveedor que interviene en una operación determinada.
La información podrá actualizarse cuando cambien los proveedores, las funciones contratadas o los requisitos legales.
Responsabilidad de los Colaboradores
Cada colaborador responderá por sus propios incumplimientos dentro del ámbito que legalmente le corresponda.
Cuando un encargado actúe fuera de las instrucciones recibidas y determine por sí mismo los fines y medios de un tratamiento, podrá asumir la posición y las responsabilidades propias de un responsable respecto de dicha actuación.
La utilización de proveedores externos no elimina las obligaciones que el RGPD atribuye directamente al responsable del tratamiento.
Limitaciones de la Compartición
Los colaboradores no estarán autorizados a:
- Vender los datos recibidos.
- Utilizarlos para publicidad propia no autorizada.
- Conservarlos indefinidamente.
- Facilitar acceso a personal no autorizado.
- Combinarlos con otras bases de datos para finalidades incompatibles.
- Transferirlos sin garantías legales suficientes.
- Utilizarlos para discriminar injustificadamente al usuario.
- Crear perfiles ajenos a la función contratada.
Cualquier excepción deberá basarse en una obligación legal propia o en una relación independiente y transparente con el interesado.
Auditoría y Supervisión
Se podrán realizar revisiones razonables sobre las medidas, documentación y prácticas de los encargados del tratamiento.
La supervisión podrá incluir cuestionarios de seguridad, revisión de certificaciones, comprobación de contratos, análisis de incidentes y solicitudes de información sobre subencargados.
La intensidad de la revisión dependerá del tipo de datos tratados, el volumen de información, el nivel de acceso y el riesgo para las personas afectadas.
Finalización de la Relación con un Colaborador
Cuando finalice la prestación de servicios, se revocarán los accesos que ya no resulten necesarios.
Los datos deberán eliminarse, devolverse, anonimizarse o bloquearse conforme a las instrucciones, el contrato y las obligaciones legales aplicables.
La terminación del contrato no extinguirá los deberes de confidencialidad ni las responsabilidades derivadas de tratamientos anteriores.
Modificaciones de esta Página
Esta página podrá actualizarse cuando cambien los proveedores, las categorías de destinatarios, las operaciones de tratamiento, la infraestructura tecnológica o la normativa aplicable.
La versión actualizada será efectiva desde su publicación en el sitio web, salvo que se indique expresamente una fecha posterior.
Las modificaciones no autorizarán el uso retroactivo de datos para nuevas finalidades incompatibles. Cuando una nueva actividad requiera consentimiento, este deberá obtenerse antes de iniciar el tratamiento.
Canal Oficial de Información y Ejercicio de Derechos
Nombre comercial: oaksera
Correo electrónico: servicemail@oaksera.com
Teléfono: +1(989)907-2641
Dirección postal: 3766 HIGH VIEW DR, OXFORD, MI, 48371
Horario de atención al cliente: De lunes a viernes, de 9:00 a 18:00 (Tiempo de respuesta limitado los fines de semana y festivos).