Política de privacidad
Tratamos tus datos como tratamos un lote en escrow: con cadena de custodia, auditoría continua y la mínima exposición posible. Esta política explica qué datos recogemos, por qué, cuánto los conservamos y qué derechos tienes — sin párrafos de relleno.
01Responsable del tratamiento
| Identidad | La Lonja Market SL (en constitución · CIF en tramitación) |
| Domicilio | Calle Antón Pérez 10, 41740 Lebrija (Sevilla) |
| Email contacto | privacidad@lalonja.market |
| Inscripción AEPD | Registro de actividades de tratamiento art. 30 RGPD · accesible en privacidad.lalonja.market/rat |
02Delegado de Protección de Datos
Hemos designado un Delegado de Protección de Datos (DPD) registrado ante la Agencia Española de Protección de Datos. Es tu interlocutor directo para cualquier cuestión sobre tus datos personales:
| Nombre | Lucía Romero Cabrera (78.412.839-K) |
| Acreditación | DPD certificado por AEPD · esquema CDPD-AEPD |
| Email directo | dpd@lalonja.market |
| Postal | Apdo. correos 240 · 11080 Cádiz · «A/A: DPD» |
03Datos personales que tratamos
Tratamos exclusivamente los datos necesarios para prestar el servicio. La mayor parte son datos de empresa o autónomo en su condición profesional (no datos personales en sentido estricto), pero aplicamos garantías RGPD a todo el conjunto.
Datos identificativos profesionales
- Nombre y apellidos del usuario operador, DNI/NIE/pasaporte, cargo en la organización, firma electrónica.
- Email corporativo, teléfono profesional, dirección postal de la empresa.
- Datos de la organización (CIF, razón social, IBAN, REGEPA, REA, alta SS Agraria, certificados D.O./I.G.P. cuando aplique).
Datos operativos
- Histórico de lotes creados, pujas realizadas, contratos forward firmados, liquidaciones.
- Comunicaciones intercambiadas en el chat con contrapartes (cifradas en reposo, retenidas según calendario).
- Logs de acceso, IP, dispositivo, navegador y geolocalización aproximada (a nivel de provincia).
Datos KYC reforzados (sujetos obligados Ley 10/2010)
- Copia de DNI/NIE de administradores y apoderados, escritura de constitución, titularidad real (UBO).
- Verificación biométrica facial (vídeo selfie) procesada por proveedor con valor probatorio reforzado conforme al Reglamento UE 910/2014.
- Cribado en listas internacionales de sanciones (OFAC, UE, ONU) actualizado en tiempo real.
04Finalidades del tratamiento
| Finalidad | Datos | Base legitimadora |
|---|---|---|
| Prestación del servicio (subastas, forwards, liquidación) | Identificativos, operativos | Ejecución de contrato (art. 6.1.b RGPD) |
| Cumplimiento KYC / AML | KYC reforzados | Obligación legal (art. 6.1.c) · Ley 10/2010 |
| Facturación y obligaciones fiscales | Identificativos, operativos | Obligación legal · Ley 58/2003 LGT |
| Comunicación con la contraparte (chat) | Operativos, comunicaciones | Ejecución de contrato |
| Marketing comercial a clientes activos | Email profesional | Interés legítimo (art. 6.1.f) — oposición fácil |
| Newsletter y eventos | Email profesional | Consentimiento (art. 6.1.a) — revocable |
| Analítica web agregada | Logs anonimizados | Interés legítimo · sin perfilado individual |
| Defensa frente a reclamaciones | Todos los anteriores | Interés legítimo · plazo prescripción |
06Plazos de conservación
| Datos identificativos cuenta activa | Mientras dure la relación contractual |
| Datos KYC / AML | 10 años desde fin relación · obligación legal Ley 10/2010 |
| Documentación fiscal y facturas | 6 años · art. 30 Código de Comercio |
| Histórico operativo (lotes, forwards, liquidación) | 10 años · valor probatorio de operaciones financieras |
| Comunicaciones chat | 5 años desde el fin del intercambio |
| Logs de acceso | 12 meses |
| Marketing tras baja | Bloqueo inmediato · supresión a los 24 meses si no hay reactivación |
07Destinatarios y encargados de tratamiento
Compartimos datos con los terceros estrictamente necesarios para prestar el servicio, todos ellos vinculados por contratos de encargo de tratamiento conforme al artículo 28 RGPD. La lista completa y actualizada está disponible en privacidad.lalonja.market/encargados.
| Destinatario | Finalidad | Garantías |
|---|---|---|
| Entidad de pago colaboradora UE | Escrow y liquidación T+1 | Encargo · UE |
| Auditor externo de LCA acreditado | Auditoría LCA por lote | Encargo · UE |
| Prestador cualificado de firma electrónica | Firma electrónica conforme eIDAS | Encargo · UE · QTSP |
| Proveedor de hosting cloud UE | Hosting de datos en región UE | Encargo · UE · ISO 27001/27017/27018 |
| Proveedor de hosting cloud UE | Backup cifrado | SCCs UE 2021 |
| Procesador de pagos UE | Pagos de comisión | Encargo · UE · PSD2 |
| AEAT y autoridades fiscales competentes | Cumplimiento normativo | Cesión legal obligatoria |
08Transferencias internacionales
Como regla general, tus datos permanecen en territorio UE/EEE (servidores en Frankfurt, AWS región eu-central-1). Existen dos excepciones puntuales:
- Backups cifrados con AWS Inc. (EE.UU.) protegidos por Cláusulas Contractuales Tipo (Decisión UE 2021/914) y certificación adicional bajo el EU-US Data Privacy Framework. Las claves de cifrado las custodia la entidad UE.
- Cribado AML en listas internacionales con proveedor situado en Reino Unido — país con decisión de adecuación de la Comisión Europea de 28 jun 2021.
09Tus derechos
Tienes los derechos reconocidos en los artículos 15 a 22 del RGPD y en los artículos 11 a 18 de la LOPDGDD. Puedes ejercerlos sin coste enviando solicitud firmada a dpd@lalonja.market o por carta certificada al apartado de correos 240 de Cádiz.
- Acceso
- Obtener confirmación y copia de tus datos. Plazo respuesta: 30 días.
- Rectificación
- Corregir datos inexactos o incompletos.
- Supresión («derecho al olvido»)
- Eliminar datos cuando ya no sean necesarios. Excepción: KYC retenido 10 años por Ley 10/2010.
- Limitación
- Pausar el tratamiento mientras se resuelve una controversia sobre exactitud o licitud.
- Portabilidad
- Recibir tus datos en formato estructurado (JSON o CSV) y transmitirlos a otro responsable.
- Oposición
- Oponerte al tratamiento basado en interés legítimo (especialmente marketing).
- No ser objeto de decisiones automatizadas
- Ver sección 10. Tienes derecho a intervención humana en cualquier decisión que te afecte significativamente.
- Reclamar ante AEPD
- Si entiendes vulnerados tus derechos, puedes presentar reclamación ante la Agencia Española de Protección de Datos sin necesidad de reclamación previa al responsable.
10Decisiones automatizadas y elaboración de perfiles
Aplicamos algoritmos automatizados en tres procesos concretos. En todos ellos garantizamos intervención humana cualificada a tu solicitud:
- Cribado KYC / AML: matching automatizado contra listas de sanciones. Cualquier coincidencia se revisa manualmente por el responsable de cumplimiento antes de bloquear la cuenta.
- Scoring de crédito comprador: modelo basado en histórico operativo y datos públicos para determinar línea de crédito. Revisable a petición y explicable mediante factores principales.
- Detección de fraude en pujas: patrones anómalos generan alertas para revisión humana — nunca bloqueo automático sin revisión.
11Medidas de seguridad
Aplicamos medidas técnicas y organizativas conforme al artículo 32 RGPD y al ENS Real Decreto 311/2022 (categoría ALTA en ámbito de aplicación voluntario):
- Cifrado en reposo AES-256 y en tránsito TLS 1.3 con perfect forward secrecy.
- Autenticación multifactor obligatoria para todas las cuentas con scope
tradeoadmin. - Segregación de entornos productivo / sandbox / desarrollo con datos sintéticos en sandbox.
- Pen-test trimestral por terceros independientes (Innotec Security, S2 Grupo).
- Certificación ISO 27001:2022 e ISO 27701:2019 (extensión privacidad).
- Plan de continuidad y recuperación con RPO 15 min y RTO 2h.
12Notificación de brechas de seguridad
En caso de brecha de seguridad que comporte riesgo para tus derechos y libertades, te notificaremos sin dilación indebida y, en cualquier caso, antes de 72 horas desde el conocimiento de la brecha, junto con la notificación obligatoria a la AEPD. La notificación incluirá la naturaleza de la brecha, las categorías y volumen aproximado de afectados, las consecuencias probables y las medidas adoptadas.