Política de privacidad

El responsable del sitio web y del servicio Andorpay es GET HAUZED, S.L..

Andorpay actúa como responsable cuando decide cómo tratar datos para su propia web, cuentas, relación contractual con comercios, seguridad, soporte, comunicaciones, facturación propia, analítica consentida y cumplimiento legal.

Cuando un comercio usa Andorpay para gestionar datos de sus compradores, pagadores, productos, suscripciones, facturas, reembolsos o webhooks, Andorpay puede actuar como encargado del tratamiento del comercio. En ese caso, el comercio es el responsable frente a sus clientes finales y Andorpay trata esos datos siguiendo sus instrucciones documentadas, el contrato aplicable y, cuando proceda, un anexo o acuerdo de tratamiento de datos.

El tratamiento se rige por el Reglamento General de Protección de Datos de la Unión Europea, la Ley Orgánica 3/2018 y la normativa española y europea aplicable en materia de privacidad, comunicaciones comerciales, seguridad y servicios digitales.

• datos de cuenta: email, identificadores de usuario, estado de verificación, sesiones y autenticación gestionada por Supabase
• datos de comercio: nombre comercial, web, dirección, país, identificación fiscal si se aporta y persona de contacto
• datos de integración: proveedor de pago, entorno, terminal, merchant code, claves o credenciales necesarias para activar el rail
• datos operativos: productos, precios, suscripciones, pagos, facturas, reembolsos, eventos webhook, logs, request_id, estados y errores
• datos de compradores o pagadores cuando el comercio los introduce o los genera al usar checkout, suscripciones, facturación, reembolsos o webhooks
• datos de soporte y comunicaciones: mensajes enviados por formularios, WhatsApp o email, junto con metadatos necesarios para responder
• datos técnicos: dirección IP, navegador, dispositivo, URLs visitadas, eventos de uso, errores, rendimiento y preferencias de cookies

Andorpay no necesita recibir datos completos de tarjeta, CVV, PIN ni datos equivalentes. Esos datos deben introducirse solo en entornos alojados o autorizados por el proveedor de pago correspondiente.

Podemos responder por email o WhatsApp a solicitudes enviadas por el usuario y, cuando proceda, enviar comunicaciones sobre Andorpay, pruebas, onboarding, cambios relevantes o recursos para comercios. Puedes oponerte en cualquier momento escribiendo a [email protected].

Para operar Andorpay usamos proveedores técnicos y, cuando el comercio lo configura, proveedores de pago. Estos terceros tratan datos en función de su papel como encargados, proveedores independientes o responsables propios según el caso.

• Supabase, para autenticación, sesiones y almacenamiento asociado
• proveedores de pago como Redsys u otros rails configurados por el comercio
• Resend u otros proveedores de email transaccional o contacto
• PostHog, Google Analytics, Google Tag Manager, Vercel Analytics y Vercel Speed Insights para analítica y rendimiento cuando existe consentimiento
• proveedores de hosting, observabilidad, seguridad, soporte y herramientas internas necesarias para operar el servicio

Algunos proveedores pueden tratar datos fuera del Espacio Económico Europeo. Cuando ocurra, se aplicarán garantías reconocidas por la normativa aplicable, como decisiones de adecuación, cláusulas contractuales tipo, medidas complementarias u otros mecanismos equivalentes cuando sean necesarios.

Conservamos los datos durante el tiempo necesario para prestar el servicio, mantener seguridad, atender soporte, cumplir obligaciones legales y resolver reclamaciones. Como criterios principales:

• cuenta y comercio: mientras exista la cuenta o contrato y durante los plazos necesarios para reclamaciones
• pagos, facturas, reembolsos y registros contables: durante los plazos legales fiscales, contables y de auditoría aplicables
• soporte y comunicaciones: mientras sea necesario para atender la solicitud y conservar evidencia razonable de la relación
• logs, eventos técnicos, webhooks y seguridad: durante plazos razonables para trazabilidad, antifraude, depuración y defensa
• analítica no esencial: según la configuración de cada proveedor y mientras exista consentimiento válido
• datos tratados como encargado para el comercio: según instrucciones del comercio, contrato, anexo de tratamiento y necesidades de operación del servicio

Aplicamos medidas técnicas y organizativas orientadas a proteger cuentas, claves, sesiones, API, webhooks y datos operativos. Ninguna medida es absoluta; por eso el comercio también debe proteger sus accesos, rotar claves expuestas, limitar permisos internos y verificar webhooks antes de ejecutar acciones sensibles.

Puedes ejercer los derechos que correspondan escribiendo a [email protected].

• acceso a tus datos personales
• rectificación de datos inexactos
• supresión cuando proceda
• oposición al tratamiento, incluida la oposición a comunicaciones comerciales
• limitación del tratamiento
• portabilidad de los datos cuando sea aplicable
• retirada del consentimiento sin afectar a tratamientos previos basados en consentimiento válido
• reclamación ante la autoridad de protección de datos competente

Si consideras que no hemos tratado correctamente tus datos, puedes reclamar ante la Agencia Española de Protección de Datos u otra autoridad competente.

La analítica no esencial se carga solo si aceptas las cookies desde el banner. Puedes revisar el detalle y cambiar o retirar tu decisión en la política de cookies.

Podemos actualizar esta política para reflejar cambios legales, técnicos, societarios o de producto. Si el cambio es material, se indicará una nueva fecha de actualización y, cuando proceda, se informará por medios razonables.