Política GDPR — Toveria
Versión 2.0 — Junio 2026
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
Marketplace europea BtoC, CtoC, CtoB y BtoB — Venta desde Europa hacia todo el mundo
| |
|---|
| Responsable del tratamiento | Kamel DOURA (empresa individual Toveria) |
| Forma jurídica | Empresa individual (EI) |
| Dirección | 12 Rue de la Part-Dieu, 69003 Lyon, Francia |
| SIRET | 978 781 227 00019 |
| RCS | 978 781 227 R.C.S. Lyon |
| Número de IVA | FR 45 978 781 227 |
| Email DPD | dpo@toveria.com |
| Email GDPR | dpo@toveria.com |
| Autoridad de control | CNIL — 3 place de Fontenoy, 75007 París — cnil.fr |
2. Delegado de Protección de Datos (DPD)
Toveria ha designado un Delegado de Protección de Datos (DPD) de conformidad con el artículo 37 del GDPR.
Contacto DPD :
📧 dpo@toveria.com
📮 Toveria — DPD (Kamel DOURA), 12 Rue de la Part-Dieu, 69003 Lyon, Francia
El DPD es su interlocutor privilegiado para cualquier cuestión relativa a la protección de sus datos personales. También es el interlocutor de la CNIL.
3. Registro de actividades de tratamiento (art. 30 GDPR)
3.1 Gestión de cuentas de usuario
| Campo | Detalle |
|---|
| Finalidad | Creación, autenticación y gestión de cuentas |
| Base legal | Ejecución del contrato (art. 6.1.b) |
| Datos tratados | Nombre, apellido, correo electrónico, teléfono, fecha de nacimiento, dirección, país, seudónimo, avatar |
| Destinatarios | Supabase (proveedor de alojamiento de base de datos), Twilio (verificación SMS) |
| Duración de conservación | Duración de la cuenta + 3 años después del cierre |
| Transferencia fuera de la UE | Twilio (Estados Unidos) — CCT UE |
3.2 Verificación de identidad telefónica (OTP)
| Campo | Detalle |
|---|
| Finalidad | Verificación del número de teléfono durante el registro y la modificación del perfil |
| Base legal | Ejecución del contrato (art. 6.1.b) + obligación legal KYC parcial |
| Datos tratados | Número de teléfono (formato E.164), marca de tiempo de verificación |
| Destinatarios | Twilio Verify (Estados Unidos) |
| Duración de conservación | Duración de la cuenta |
| Transferencia fuera de la UE | Twilio (Estados Unidos) — CCT UE |
3.3 Autenticación multifactor (2FA/TOTP)
| Campo | Detalle |
|---|
| Finalidad | Refuerzo de la seguridad de la cuenta |
| Base legal | Interés legítimo — seguridad (art. 6.1.f) |
| Datos tratados | Secreto TOTP (cifrado), códigos de recuperación (hash SHA-256), marca de tiempo de activación |
| Destinatarios | Supabase (almacenamiento cifrado) |
| Duración de conservación | Duración de la cuenta |
| Transferencia fuera de la UE | No |
3.4 Publicación y gestión de anuncios
| Campo | Detalle |
|---|
| Finalidad | Publicación en línea y gestión de anuncios de venta |
| Base legal | Ejecución del contrato (art. 6.1.b) |
| Datos tratados | Título, descripción, precio, fotos, vídeos, categoría, localización (ciudad, país), hashtags, estado del artículo |
| Destinatarios | Supabase Storage (fotos), CDN Supabase |
| Duración de conservación | Duración de la publicación. Después de la eliminación por el miembro: medios retirados inmediatamente, anuncio eliminado definitivamente a 180 días. Anuncio vinculado a un pedido: conservado hasta 5 años (prueba de transacción). |
3.5 Tratamiento de transacciones y pagos
| Campo | Detalle |
|---|
| Finalidad | Procesamiento seguro de pagos, depósito en garantía, transferencia a vendedores |
| Base legal | Ejecución del contrato (art. 6.1.b) |
| Datos tratados | Importes (artículo, comisiones, envío), referencia de pago, estado del pedido, dirección de entrega, nombre del comprador, país |
| Destinatarios | Stripe Inc. (pagos, KYC Connect vendedores) |
| Duración de conservación | 10 años (Código de comercio) |
| Transferencia fuera de la UE | Stripe (Estados Unidos) — CCT UE + Privacy Shield 2.0 |
3.6 Verificación KYC de vendedores (Stripe Connect)
| Campo | Detalle |
|---|
| Finalidad | Verificación de la identidad de los vendedores para transferencias (obligación AML) |
| Base legal | Obligación legal (art. 6.1.c) — Directiva antilavado de dinero |
| Datos tratados | Documento de identidad, IBAN, SIRET, datos fiscales — tratados exclusivamente por Stripe |
| Destinatarios | Stripe Connect |
| Duración de conservación | 5 años después del cierre de la cuenta Stripe Connect (obligación Stripe) |
| Transferencia fuera de la UE | Stripe (Estados Unidos) — CCT UE |
3.7 Mensajería y conversaciones
| Campo | Detalle |
|---|
| Finalidad | Puesta en contacto entre compradores y vendedores |
| Base legal | Ejecución del contrato (art. 6.1.b) |
| Datos tratados | Mensajes de texto, fotos compartidas, ofertas de precio, marca de tiempo |
| Destinatarios | Supabase Realtime |
| Duración de conservación | Fase activa de 6 meses después del último mensaje, luego archivo intermedio con acceso restringido, luego eliminación: 24 meses (sin pedido) o 5 años (con pedido). |
| Transferencia fuera de la UE | No (servidores EU) |
3.8 Notificaciones de correo electrónico transaccionales
| Campo | Detalle |
|---|
| Finalidad | Envío de notificaciones de pedido, envío, oferta, etc. |
| Base legal | Ejecución del contrato (art. 6.1.b) |
| Datos tratados | Correo electrónico, nombre, datos de la transacción correspondiente |
| Destinatarios | Resend Inc. (Estados Unidos) |
| Duración de conservación | Registros de envío: 30 días |
| Transferencia fuera de la UE | Resend (Estados Unidos) — CCT UE |
3.9 Notificaciones push
| Campo | Detalle |
|---|
| Finalidad | Envío de notificaciones push web |
| Base legal | Consentimiento (art. 6.1.a) — opcional, revocable |
| Datos tratados | Identificador de dispositivo (Player ID OneSignal), preferencias de notificación |
| Destinatarios | OneSignal Inc. (Estados Unidos) |
| Duración de conservación | Duración de la cuenta |
| Transferencia fuera de la UE | OneSignal (Estados Unidos) — CCT UE |
| Campo | Detalle |
|---|
| Finalidad | Declaración anual a la DGFiP de vendedores que superan los umbrales legales |
| Base legal | Obligación legal (art. 6.1.c) — Directiva (UE) 2021/514 |
| Datos tratados | Nombre, apellido, dirección, fecha de nacimiento, NIF, SIRET, IVA, ingresos anuales, número de transacciones |
| Destinatarios | DGFiP (Francia) |
| Duración de conservación | 10 años |
| Transferencia fuera de la UE | No |
3.11 Verificación de IVA (VIES)
| Campo | Detalle |
|---|
| Finalidad | Verificación de la validez del número de IVA intracomunitario |
| Base legal | Obligación legal (art. 6.1.c) |
| Datos tratados | Número de IVA, resultado de verificación |
| Destinatarios | API VIES — Comisión Europea |
| Duración de conservación | Duración de la cuenta profesional |
| Transferencia fuera de la UE | No |
3.12 Gestión de reseñas y calificaciones
| Campo | Detalle |
|---|
| Finalidad | Sistema de confianza entre miembros |
| Base legal | Interés legítimo (art. 6.1.f) |
| Datos tratados | Calificación (1-5), comentario, referencia de transacción, marca de tiempo |
| Destinatarios | Supabase |
| Duración de conservación | Anonimización después de 5 años (calificación y comentario conservados, identidad del autor disociada). |
| Transferencia fuera de la UE | No |
3.13 Programa de referencia
| Campo | Detalle |
|---|
| Finalidad | Gestión de recompensas de referencia |
| Base legal | Ejecución del contrato (art. 6.1.b) |
| Datos tratados | Código de referencia, identificador de padrino/ahijado, historial de recompensas |
| Destinatarios | Supabase |
| Duración de conservación | 3 años |
| Transferencia fuera de la UE | No |
3.14 Sistema de disputas
| Campo | Detalle |
|---|
| Finalidad | Mediación y resolución de disputas entre compradores y vendedores |
| Base legal | Ejecución del contrato (art. 6.1.b) + interés legítimo |
| Datos tratados | Motivo de la disputa, mensajes intercambiados, pruebas proporcionadas, decisión de resolución |
| Destinatarios | Supabase, equipo de moderación Toveria |
| Duración de conservación | 5 años después del cierre de la disputa |
| Transferencia fuera de la UE | No |
3.15 Verificación de sanciones internacionales
| Campo | Detalle |
|---|
| Finalidad | Cumplimiento de embargos y sanciones OFAC/UE/ONU |
| Base legal | Obligación legal (art. 6.1.c) |
| Datos tratados | Nombre, apellido, país (comparación con listas de sanciones) |
| Destinatarios | API OpenSanctions (Europa) |
| Duración de conservación | Alertas: 5 años |
| Transferencia fuera de la UE | No (API europea) |
3.16 Registros de seguridad y antifraud
| Campo | Detalle |
|---|
| Finalidad | Detección de comportamientos fraudulentos y seguridad de la plataforma |
| Base legal | Interés legítimo (art. 6.1.f) |
| Datos tratados | Dirección IP, marca de tiempo de conexiones, acciones sospechosas, datos Stripe Radar |
| Destinatarios | Supabase, Stripe Radar |
| Duración de conservación | Registros de errores técnicos: 90 días. Intentos de pago (antifraud): 7 días. Purga automática diaria. Otros registros de seguridad: 12 meses. |
| Transferencia fuera de la UE | Stripe (Estados Unidos) — CCT UE |
3.17 Cookies y rastreadores
| Campo | Detalle |
|---|
| Finalidad | Funcionamiento de la plataforma (obligatorios) + análisis de audiencia (opcionales) |
| Base legal | Necesidad técnica (obligatorios) / Consentimiento (analíticos) |
| Datos tratados | Sesión de usuario, preferencias, identificador de analítica |
| Destinatarios | Supabase (sesión), servicio de analítica (si está activado) |
| Duración de conservación | Sesión (funcionales) / 13 meses máximo (analíticos) |
| Transferencia fuera de la UE | Según el servicio de analítica utilizado |
3.18 Comunicaciones de marketing (opcionales)
| Campo | Detalle |
|---|
| Finalidad | Envío de boletines informativos y comunicaciones promocionales |
| Base legal | Consentimiento (art. 6.1.a) — casilla opt-in distinta en el registro |
| Datos tratados | Correo electrónico, nombre, preferencias de comunicación |
| Destinatarios | Resend Inc. |
| Duración de conservación | Hasta la baja + 3 años |
| Transferencia fuera de la UE | Resend (Estados Unidos) — CCT UE |
4. Encargados del tratamiento (art. 28 GDPR)
Todos los encargados del tratamiento han firmado un acuerdo de tratamiento de datos conforme al art. 28.
| Encargado del tratamiento | Función | País | Garantía |
|---|
| Supabase Inc. | Base de datos, auth, almacenamiento, realtime | 🇩🇪 Alemania (eu-west-3) | DPA GDPR firmado |
| Stripe Inc. | Pagos, Billing, Connect, Radar | 🇺🇸 Estados Unidos | CCT UE + Privacy Shield 2.0 |
| Resend Inc. | Correos electrónicos transaccionales | 🇺🇸 Estados Unidos | CCT UE |
| OneSignal Inc. | Notificaciones push | 🇺🇸 Estados Unidos | CCT UE |
| Vercel Inc. | Alojamiento de aplicación web | 🇺🇸/🇪🇺 | CCT UE |
| Twilio Inc. | SMS OTP (Twilio Verify) | 🇺🇸 Estados Unidos | CCT UE |
| OpenSanctions | Verificación de listas de sanciones | 🇩🇪 Alemania | GDPR nativo |
5. Transferencias fuera de la Unión Europea (art. 44-49 GDPR)
Las transferencias a Estados Unidos están reguladas por:
- Cláusulas Contractuales Tipo (CCT) — Decisión de Ejecución (UE) 2021/914 de la Comisión Europea
- Marco EU-US Data Privacy Framework — Decisión de adecuación de 10 de julio de 2023
Para cada transferencia, Toveria se asegura de que el encargado del tratamiento ofrezca garantías suficientes de protección.
6. Derechos de los interesados
6.1 Tabla de derechos
| Derecho | Base legal | Condiciones | Plazo |
|---|
| Acceso (art. 15) | — | Identificación requerida | 30 días |
| Rectificación (art. 16) | — | — | 30 días |
| Supresión (art. 17) | — | Excepto obligaciones legales de conservación | 30 días |
| Limitación (art. 18) | — | Durante impugnación o reclamación | 30 días |
| Portabilidad (art. 20) | Contrato o consentimiento | Formato JSON/CSV | 30 días |
| Oposición (art. 21) | Interés legítimo o misión de interés público | Motivos legítimos a hacer valer | 30 días |
| Retiro del consentimiento | Consentimiento | En cualquier momento, sin efecto retroactivo | Inmediato |
| Directivas post mortem | Ley de informática y libertades (Francia) | — | — |
6.2 Cómo ejercer sus derechos
Por correo electrónico : dpo@toveria.com
Asunto recomendado : [Derecho GDPR] Su nombre — Tipo de solicitud
Por correo :
Toveria — Servicio GDPR
12 Rue de la Part-Dieu, 69003 Lyon, Francia
Documento de identidad : se puede solicitar una copia para verificar su identidad (escaneada, sin número de documento si lo prefiere).
Plazo de respuesta : 30 días naturales. Prorrogable por 60 días adicionales para solicitudes complejas, con notificación previa.
6.3 Derecho a presentar una reclamación ante la CNIL
Si considera que sus derechos no se respetan:
CNIL — Comisión Nacional de Informática y Libertades
🌐 cnil.fr/fr/plaintes
📮 3 place de Fontenoy — TSA 80715 — 75334 París Cedex 07
📞 +33 (0)1 53 73 22 22
7. Duraciones de conservación
| Categoría | Duración | Base |
|---|
| Datos de cuenta activa | Duración de la cuenta | Contrato |
| Datos de cuenta (después del cierre) | Supresión al cierre (datos bajo obligación legal conservados por separado) | Minimización / obligaciones legales |
| Datos de transacciones | 10 años | Código de comercio (art. L.123-22) |
| Facturas BtoB | 10 años | Código general de impuestos |
| Datos DAC7 y fiscales | 10 años | Directiva DAC7 |
| Datos aduaneros | 5 años | Código aduanero de la Unión |
| Anuncios eliminados por el miembro | 180 días (medios retirados inmediatamente) | Minimización |
| Anuncios vendidos / vinculados a un pedido | Hasta 5 años | Prueba de transacción |
| Conversaciones entre miembros | 6 meses activos, luego archivo intermedio restringido, luego supresión a 24 meses (sin pedido) / 5 años (con pedido) | Minimización / prescripción civil |
| Reseñas y calificaciones | Anonimización después de 5 años | Interés legítimo |
| Disputas | 5 años después del cierre | Prescripción legal |
| Registros técnicos (errores API) | 90 días (purga automática diaria) | Minimización |
| Intentos de pago (antifraud) | 7 días (purga automática diaria) | Minimización |
| Otros registros de seguridad | 12 meses | Recomendación CNIL |
| Documentos KYC (Stripe) | 5 años | Obligación Stripe / AML |
| Alertas de sanciones | 5 años | Obligación regulatoria |
| Cookies analíticos | 13 meses máximo | Recomendación CNIL |
| Consentimientos (opt-in marketing) | 3 años después de la última interacción | Recomendación CNIL |
Archivo intermedio (CNIL) : después de su fase activa, las conversaciones pasan por un archivo con acceso restringido (reservado para obligaciones legales / disputas) antes de la supresión definitiva.
Legal hold : cualquier dato vinculado a una disputa abierta, una obligación legal o una solicitud de autoridad se conserva hasta el final de esa obligación, por derogación a las duraciones anteriores.
8. Seguridad de los datos (art. 32 GDPR)
8.1 Medidas técnicas
| Medida | Implementación |
|---|
| Cifrado en tránsito | HTTPS / TLS 1.3 en todas las comunicaciones |
| Cifrado en reposo | Base de datos Supabase cifrada (AES-256) |
| Control de acceso a base de datos | Row Level Security (RLS) — acceso por fila según el usuario autenticado |
| Autenticación | Email OTP + SMS OTP obligatorios en el registro |
| Autenticación doble | TOTP (compatible con Google Authenticator) — opcional para usuarios |
| Códigos de recuperación 2FA | Hash SHA-256 en base de datos |
| Datos bancarios | Delegados a Stripe (PCI DSS Level 1) — nunca almacenados por Toveria |
| Tokens JWT | Supabase Auth — duración de vida limitada |
| Limpieza de sesión | Eliminación de 15 claves localStorage + cookies al cerrar sesión |
| Verificación de firmas de webhooks | HMAC-SHA256 en todos los webhooks entrantes (Stripe) |
8.2 Medidas organizacionales
| Medida | Detalle |
|---|
| Acceso a datos personales | Limitado solo a empleados autorizados según el principio del menor privilegio |
| Formación | Sensibilización GDPR de todos los colaboradores con acceso a datos |
| Auditoría | Auditoría RLS Supabase prevista antes del lanzamiento comercial |
| Registro | Registros de acceso a datos sensibles conservados 12 meses |
| Prueba de penetración | Pentest previsto antes del lanzamiento (presupuesto 3 000-10 000 €) |
| Bug bounty | Programa de divulgación responsable en creación |
8.3 Procedimiento de notificación en caso de violación
De conformidad con el art. 33 GDPR, Toveria se compromete a notificar a la CNIL en el plazo de 72 horas siguientes a la constatación de una violación de datos que pueda suponer un riesgo para los derechos y libertades de las personas.
Si la violación es susceptible de suponer un riesgo elevado, los interesados también serán informados sin demora injustificada (art. 34 GDPR).
Procedimiento interno :
- Detección → alerta inmediata al DPD
- Calificación del riesgo (< 4h)
- Notificación CNIL si es necesario (< 72h)
- Notificación de personas si hay riesgo elevado (< 72h)
- Documentación del incidente (registro de violaciones)
9. Análisis de Impacto (AIPD / DPIA — art. 35 GDPR)
Se requiere un Análisis de Impacto sobre la Protección de Datos para los tratamientos que presentan un riesgo elevado.
| Tratamiento | AIPD requerida | Estado |
|---|
| Verificación de sanciones (scoring) | Sí — perfilado | ⏳ Por realizar |
| Datos fiscales DAC7 | Sí — datos sensibles + gran escala | ⏳ Por realizar |
| KYC vendedores (documento de identidad) | Sí — datos biométricos potenciales | ⏳ Delegado a Stripe |
| Seguimiento de comportamiento (si analítica) | Sí — si se implementa | Por evaluar |
10. Datos de menores
La plataforma Toveria está estrictamente reservada para personas mayores de 18 años.
La fecha de nacimiento se recopila en el registro para verificar la mayoría de edad. Cualquier registro de un menor conlleva la supresión inmediata de la cuenta y los datos asociados.
Notificación : dpo@toveria.com — Asunto: [Menor]
11. Cookies y rastreadores
Cookies estrictamente necesarias (no requieren consentimiento)
| Cookie | Finalidad | Duración |
|---|
sb-auth-token | Sesión de autenticación Supabase | Sesión / 1 semana |
toveria-ref | Enlace de referencia | 30 días |
toveria-lang | Idioma de visualización | 1 año |
toveria-mr-rates | Tarifas de transportistas (localStorage) | Hasta eliminación |
Cookies analíticos (con consentimiento previo)
Se activarán solo después de la implementación de un banner de cookies conforme a la recomendación CNIL (recomendación CNIL de 1 de octubre de 2020).
12. Modificaciones de esta política
Las modificaciones sustanciales se notificarán por correo electrónico con un preaviso de 30 días.
La fecha de última actualización figura en el encabezado. El uso continuado de la plataforma después de la entrada en vigor equivale a la aceptación.
Marketplace europea BtoC, CtoC, CtoB y BtoB — Venta desde Europa hacia todo el mundo
Venta desde Europa hacia todo el mundo
Número de registro CNIL : [Por completar después de la declaración]
Última actualización : Junio 2026
Versión francesa — en caso de divergencia con una traducción, la versión francesa prevalece.
