Política de Privacidad — Toveria
Versión 2.0 — Junio de 2026
Conforme al RGPD (UE) 2016/679, a la Ley de Protección de Datos y
a las regulaciones aplicables a las transferencias internacionales de datos
1. Identidad del responsable del tratamiento
Toveria — empresa individual (EI) explotada por Kamel DOURA
12 Rue de la Part-Dieu, 69003 Lyon, Francia
SIRET : 978 781 227 00019 — RCS : 978 781 227 R.C.S. Lyon
📧 dpo@toveria.com
Kamel DOURA (EI Toveria) es el responsable del tratamiento de datos personales recopilados a través de la plataforma Toveria (toveria.com) y su aplicación móvil, en el contexto de un marketplace BtoC, CtoC, CtoB y BtoB que opera desde Europa hacia todo el mundo.
2. Delegado de Protección de Datos (DPD)
El DPD es su interlocutor para cualquier pregunta relacionada con la protección de sus datos personales.
3. Datos recopilados
3.1 Datos de registro — Todos los usuarios
| Dato | Obligatorio | Finalidad |
|---|---|---|
| Nombre y apellidos | Sí | Identificación, DAC7, facturación |
| Fecha de nacimiento | Sí (particulares) | Verificación de mayoría de edad, DAC7 |
| Dirección de correo electrónico | Sí | Autenticación, notificaciones |
| Número de teléfono | Sí | Verificación de identidad, seguridad, OTP |
| Dirección postal completa | Sí | Entrega, facturación, DAC7 |
| País de residencia | Sí | Cumplimiento fiscal, IVA internacional |
| Seudónimo | Sí | Visualización en la plataforma |
| Avatar | No | Personalización |
| Biografía | No | Perfil público vendedor |
3.2 Datos adicionales — Cuentas profesionales
| Dato | Obligatorio | Finalidad |
|---|---|---|
| Razón social | Sí | Cumplimiento legal, facturación BtoB |
| Forma jurídica | Sí | Cumplimiento legal |
| SIRET / Registro equivalente UE | Sí | Verificación de identidad empresarial |
| Número de IVA intracomunitario | Sí (si está sujeto) | VIES, facturación BtoB |
| País de almacenamiento de mercancías | Sí | Cumplimiento DAC7, IVA |
| Kbis o equivalente europeo | Sí | Verificación de identidad |
| IBAN (cuenta de transferencia) | Vía Stripe | Pago vendedor (Stripe Connect) |
| Certificación DAC7 | Sí | Obligación regulatoria |
| Documentos KYC Stripe | Vía Stripe | Verificación de identidad Connect |
3.3 Datos recopilados en el uso
- Anuncios : título, descripción, precio, fotos, vídeos, categoría, localización
- Transacciones : historial de compras/ventas, importes, referencias de pago, transportistas, números de seguimiento
- Conversaciones : mensajes intercambiados entre miembros
- Comportamiento : páginas visitadas, búsquedas, anuncios consultados, favoritos
- Técnico : dirección IP, tipo de dispositivo, navegador, SO, idioma, zona horaria
- Aduanero : información de declaraciones CN22/CN23 para envíos internacionales
3.4 Datos de pago
Tratados exclusivamente por Stripe. Toveria no almacena datos bancarios. Toveria recibe únicamente identificadores tokenizados y confirmaciones de transacción.
3.5 Datos de compradores internacionales
Para compradores ubicados fuera de la UE, Toveria recopila los datos estrictamente necesarios para la transacción: nombre, correo electrónico, dirección de entrega, país. Estos datos se tratan de conformidad con el RGPD y, si es aplicable, con las leyes locales de protección de datos (PDPA Tailandia, LGPD Brasil, PIPEDA Canadá, etc.).
3.6 Número fiscal (NIF / Tax ID)
Recopilado para vendedores que superan los umbrales DAC7 (30 transacciones o 2 000 €/año). También recopilado para transacciones BtoB que requieren una factura con identificación fiscal.
3.7 Datos de notificaciones push
Si activa las notificaciones push, se genera un identificador de dispositivo (token FCM) por Firebase Cloud Messaging (Google) y se conserva para enviarle notificaciones relacionadas con su actividad (mensajes, ofertas, ventas, seguimiento de pedidos). Este identificador no contiene datos personales directos. La activación es opcional y se basa en su consentimiento explícito (autorización solicitada por su navegador, precedida de información en la aplicación); ningún identificador se transmite a Google antes de este consentimiento. Puede desactivar las notificaciones en cualquier momento desde su dispositivo o el menú de la aplicación.
4. Bases legales de los tratamientos
| Tratamiento | Base legal |
|---|---|
| Gestión de cuenta | Ejecución del contrato (art. 6.1.b) |
| Tratamiento de pagos | Ejecución del contrato (art. 6.1.b) |
| Notificaciones transaccionales | Ejecución del contrato (art. 6.1.b) |
| Facturación BtoB | Ejecución del contrato + obligación legal |
| Cumplimiento DAC7 | Obligación legal (art. 6.1.c) |
| Verificación IVA VIES | Obligación legal (art. 6.1.c) |
| Declaraciones aduaneras | Obligación legal (art. 6.1.c) |
| Cumplimiento de sanciones internacionales | Obligación legal (art. 6.1.c) |
| Lucha contra el fraude | Interés legítimo (art. 6.1.f) |
| Mejora del servicio | Interés legítimo (art. 6.1.f) |
| Correos electrónicos de marketing | Consentimiento (art. 6.1.a) |
| Cookies analíticas | Consentimiento (art. 6.1.a) |
| Recomendaciones personalizadas | Consentimiento (art. 6.1.a) |
| Notificaciones push (Firebase Cloud Messaging) | Consentimiento (art. 6.1.a) |
5. Finalidades de los tratamientos
5.1 Gestión de cuenta y autenticación
Creación de cuenta, verificación de identidad (email OTP, SMS OTP), conexión segura, autenticación multifactor (TOTP), recuperación de cuenta.
5.2 Funcionamiento del marketplace
Publicación y gestión de anuncios, mensajería en tiempo real entre miembros, tratamiento de transacciones (todos los tipos: BtoC, CtoC, CtoB, BtoB), gestión de lotes, historial de pedidos.
5.3 Pagos y transferencias a vendedores
Tratamiento seguro de pagos (Stripe), generación de recibos, transferencia de fondos a vendedores (Stripe Connect), gestión de suscripciones Pro, facturación de boosts.
5.4 Facturación BtoB
Generación automática de facturas conformes (número secuencial, datos fiscales completos de ambas partes, IVA aplicable) para transacciones entre cuentas profesionales.
5.5 Cumplimiento regulatorio
Declaraciones DAC7 a la DGFiP, verificación de IVA a través de VIES, cumplimiento DSA, verificación de listas de sanciones internacionales (vía OpenSanctions, antes del pago), respeto de regulaciones aduaneras. Una restricción geográfica excluye además los países bajo embargo (registro y entrega bloqueados), en virtud de las sanciones internacionales aplicables (OFAC, UE, ONU) y del control de exportaciones; el país indicado se trata con esta finalidad.
5.6 Transacciones internacionales
Gestión de datos necesarios para declaraciones aduaneras (CN22/CN23), cálculo de impuestos aplicables (IOSS, derechos de aduana), verificación de restricciones de exportación/importación.
5.7 Seguridad y anti-fraude
Detección de comportamientos fraudulentos, verificación de autenticidad de cuentas, protección contra contenidos ilícitos, controles anti-fraude de referencia, verificación de sanciones internacionales.
5.8 Servicio al cliente y litigios
Tratamiento de solicitudes de soporte, mediación entre comprador y vendedor, archivo de intercambios necesarios para la resolución de litigios, incluyendo litigios internacionales.
5.9 Comunicación comercial
Envío de correos electrónicos transaccionales obligatorios, envío de correos electrónicos de marketing con consentimiento previo (revocable en cualquier momento).
6. Destinatarios de los datos
6.1 Proveedores técnicos (encargados del tratamiento)
| Proveedor | Función | Localización | Garantías |
|---|---|---|---|
| Supabase | Base de datos, auth, almacenamiento | UE (Frankfurt) | Contrato DPA RGPD |
| Stripe | Pagos, KYC, Connect | Estados Unidos | CCT UE — Privacy Shield 2.0 |
| Resend | Correos electrónicos transaccionales | Estados Unidos | CCT UE |
| Google (Firebase Cloud Messaging) | Notificaciones push | Estados Unidos | CCT UE |
| Anthropic | Asistencia por IA (búsqueda por imagen, generación de descripciones de anuncios, asistente de soporte), a solicitud del usuario | Estados Unidos | CCT UE |
| Vercel | Alojamiento de aplicación | Estados Unidos / UE | CCT UE |
| OpenSanctions | Filtrado de listas de sanciones internacionales (OFAC, ONU, UE) antes del pago | UE (Alemania) | Datos limitados a identidad — DPA RGPD |
6.2 Autoridades públicas
- DGFiP (Francia) : declaraciones DAC7 anuales
- ARCOM (Francia) : solicitudes DSA
- Autoridades aduaneras : datos de declaraciones CN22/CN23
- Autoridades competentes : respuesta a requisiciones judiciales
- Reguladores de países terceros : si lo requiere la ley local aplicable a la transacción
6.3 Intercambio entre miembros
Solo el perfil público es visible: seudónimo, avatar, ciudad, biografía, calificación, número de ventas. El nombre real, dirección, correo electrónico y teléfono nunca se comparten directamente con otros miembros (las coordenadas de entrega se transmiten al vendedor únicamente después del pago confirmado, con la única finalidad de envío).
6.4 Compradores fuera de la UE
Cuando un comprador ubicado fuera de la UE realiza una transacción, los datos necesarios para el envío (nombre, dirección de entrega) se comparten con el vendedor y, en su caso, con el transportista. Estos datos pueden estar sujetos a las regulaciones aduaneras del país de destino.
7. Transferencias fuera de la Unión Europea
Las transferencias a países terceros (especialmente Estados Unidos) se rigen por:
- Cláusulas contractuales tipo (CCT) aprobadas por la Comisión Europea (decisión de adecuación 2021/914)
- Marco EU-US Privacy Shield 2.0 (Decisión de adecuación de julio de 2023) para transferencias a Estados Unidos
Para datos de compradores residentes fuera de la UE, Toveria aplica los mismos estándares de protección que para residentes europeos, en la medida que lo permitan las leyes locales aplicables.
8. Duración de conservación de datos
Cada dato se conserva durante el tiempo estrictamente necesario para su finalidad, y luego se suprime o anonimiza. De conformidad con las recomendaciones de la CNIL, ciertos datos pasan, después de su fase de uso activo, por un archivo intermedio de acceso restringido (accesible únicamente para el cumplimiento de obligaciones legales o la gestión de un litigio) antes de su supresión definitiva.
| Categoría | Duración de conservación |
|---|---|
| Datos de cuenta activa | Duración de vida de la cuenta |
| Datos de cuenta después del cierre | Supresión de datos personales al cierre; los datos sujetos a obligación legal se conservan por separado durante su duración propia |
| Datos de transacciones / pedidos | 10 años (Código de Comercio, CGI) |
| Facturas BtoB | 10 años (Código de Comercio) |
| Conversaciones (mensajes) | Fase activa de 6 meses después del último mensaje, luego archivo intermedio de acceso restringido, luego supresión: 24 meses (conversación sin pedido) o 5 años (conversación vinculada a un pedido) |
| Archivos adjuntos de mensajes (fotos) | Suprimidos con el mensaje correspondiente |
| Anuncios suprimidos por el miembro | Medios retirados inmediatamente; supresión definitiva del anuncio 180 días después |
| Anuncios vendidos / vinculados a un pedido | Conservados como prueba de la transacción (hasta 5 años / obligaciones contables) |
| Opiniones y evaluaciones | Anonimización después de 5 años (calificación y comentario conservados, identidad del autor disociada) |
| Datos DAC7 y fiscales | 10 años |
| Datos aduaneros | 5 años (Código de Aduanas) |
| Registros técnicos (errores API) | 90 días (purga automática diaria) |
| Registro de intentos de pago (anti-fraude) | 7 días (purga automática diaria) |
| Otros registros de seguridad | 12 meses máximo |
| Cookies analíticas | 13 meses máximo |
| Datos de referencia | 3 años |
| KYC Stripe (documentos de identidad) | Según obligaciones Stripe / 5 años |
| Token de notificación push (FCM) | Hasta desactivación o invalidación; tokens expirados purgados automáticamente |
Litigio u obligación en curso (« legal hold ») : cualquier dato necesario para la resolución de un litigio, el cumplimiento de una obligación legal o una solicitud de una autoridad competente se conserva hasta el final de esta obligación, por derogación a las duraciones anteriores.
9. Sus derechos
De conformidad con el RGPD (residentes UE) y, en la medida aplicable, con las leyes locales de protección de datos (residentes fuera de la UE), dispone de los siguientes derechos:
9.1 Derechos RGPD (residentes UE)
- Acceso (art. 15) — recibir una copia de sus datos
- Rectificación (art. 16) — corregir datos inexactos
- Supresión (art. 17) — eliminación excepto obligación legal de conservación
- Limitación (art. 18) — suspensión temporal del tratamiento
- Portabilidad (art. 20) — exportación en formato estructurado (JSON/CSV)
- Oposición (art. 21) — oposición a tratamientos basados en interés legítimo
- Retiro del consentimiento — revocable en cualquier momento
9.2 Derechos de residentes fuera de la UE
Toveria extiende, en la medida de lo posible, las protecciones RGPD a residentes fuera de la UE. Los residentes de países con legislaciones específicas (LGPD Brasil, PDPA Tailandia, PIPEDA Canadá, CCPA California, etc.) pueden ejercer los derechos previstos por su legislación contactando a dpo@toveria.com.
9.3 Ejercicio de derechos
📧 dpo@toveria.com — Asunto: [Derechos RGPD] Su solicitud
Plazo de respuesta: 30 días (prorrogable 2 meses para solicitudes complejas). Se puede solicitar un documento de identidad.
9.4 Recurso
CNIL — cnil.fr/fr/plaintes — CNIL, 3 place de Fontenoy, 75007 París
10. Cookies y rastreadores
Cookies estrictamente necesarias (no requieren consentimiento)
| Cookie | Finalidad | Duración |
|---|---|---|
| Autenticación de sesión | Mantener la conexión | Sesión |
| Preferencias de usuario | Idioma, visualización | 1 año |
| Carrito / lote | Memorizar la selección | Sesión |
| Seguridad | CSRF, anti-fraude | Sesión |
Consentimiento de cookies (toveria_cookie_consent) | Memorizar su elección | 6 meses |
Cookies analíticas (con consentimiento)
| Cookie | Finalidad | Duración |
|---|---|---|
| Análisis de audiencia | Mejora del servicio | 13 meses |
Actualmente no hay cookies analíticas o publicitarias activas: solo se depositarán después de su consentimiento explícito.
Para detalles completos (categorías, duraciones, retiro), consulte nuestra Política de gestión de cookies. La gestión es accesible en cualquier momento a través del botón « Gestionar cookies » (menú y pie de cada página legal).
11. Seguridad de datos
- Cifrado en tránsito : HTTPS / TLS 1.3
- Cifrado en reposo : base de datos Supabase cifrada
- Autenticación : email OTP + SMS OTP + TOTP (2FA)
- Control de acceso : Row Level Security (RLS) Supabase
- Pagos : Stripe PCI DSS Nivel 1
- Acceso restringido : datos personales accesibles solo a empleados autorizados
- Registro : registros de seguridad conservados 12 meses
- Anti-fraude : Stripe Radar, controles de referencia, verificación de sanciones
En caso de violación de datos que pueda crear un riesgo, Toveria le informará en 72 horas.
12. Datos de menores
La plataforma está reservada para personas de 18 años o más. Notificación: dpo@toveria.com.
13. Modificaciones
Las modificaciones sustanciales se notifican por correo electrónico con un aviso previo de 30 días.
14. Contacto
📧 dpo@toveria.com — Protección de datos
📧 dpo@toveria.com — Delegado de Protección de Datos
Toveria — Marketplace europeo BtoC, CtoC, CtoB y BtoB
SIRET : [A completar] — Registro CNIL n° : [A completar]
Última actualización: Junio de 2026
Versión en español — en caso de divergencia con otra traducción, la versión francesa prevalece.