Política de privacidad
Política de privacidad
Versión 3.0 · Última actualización: 27 de mayo de 2026
1. Identidad del responsable del tratamiento
El responsable del tratamiento de tus datos personales es:
- Razón social: PIG RABBIT UNIVERSE SL
- NIF: B25919648
- Domicilio social: Callejones del Perchel, 8, local 3B1B, 29002 Málaga (España)
- Email: hola@pigrabbit.es
- Teléfono: 668 829 123
- Inscripción Registro Mercantil: Registro Mercantil de Málaga, Hoja MA-195349, Inscripción 1ª, con fecha 14 de enero de 2026 (IRUS 1000464523253)
- Web: https://pigrabbit.es
En esta Política nos referiremos a la entidad como “Pig Rabbit Shop”, “nosotros” o “la tienda”.
2. Delegado de Protección de Datos (DPO)
Pig Rabbit Shop no ha designado un Delegado de Protección de Datos al no concurrir ninguno de los supuestos del art. 37 RGPD ni art. 34 LOPDGDD. Las consultas relacionadas con la protección de datos se canalizan directamente a través de la dirección hola@pigrabbit.es.
3. Información que tratamos y fuentes
3.1 Datos que nos facilitas directamente
- Datos identificativos y de contacto: nombre, apellidos, dirección postal de envío y facturación, teléfono, email.
- Datos de cuenta: nombre de usuario, contraseña cifrada, preguntas de seguridad, preferencias de idioma y divisa.
- Datos de pedido: productos en el carrito, lista de deseos, historial de compras, devoluciones, reembolsos, reservas y pre-orders.
- Datos de pago: tratados directamente por nuestros proveedores autorizados (Shopify Payments, PayPal, Bizum, Klarna). Pig Rabbit Shop no almacena números completos de tarjeta.
- Datos fiscales: NIF cuando solicitas factura, dirección fiscal.
- Comunicaciones: contenido de los mensajes que nos envías por email, formulario web, WhatsApp Business, redes sociales o teléfono.
- Datos de marketing: tu consentimiento o no para recibir newsletter, segmentación por intereses (artistas K-pop, marcas de blindbox, etc.).
- Reseñas y contenidos: opiniones de producto, fotos o vídeos de unboxing que decidas publicar.
3.2 Datos que recogemos automáticamente
- Datos de uso y navegación: páginas visitadas, productos consultados, tiempo de permanencia, clics, dispositivo, sistema operativo, navegador, idioma, resolución de pantalla.
- Datos de red: dirección IP (anonimizada para analítica), proveedor, geolocalización aproximada (ciudad/región).
- Cookies e identificadores: ver nuestra Política de cookies.
3.3 Datos que recibimos de terceros
- De proveedores de pago (Shopify Payments, PayPal, Bizum, Klarna): confirmación de pago, fraude.
- De redes sociales cuando inicias sesión con Google o Facebook (Sign-in with): tu nombre, email y avatar público.
- De plataformas publicitarias (Meta, Google, TikTok): identificadores de audiencia y eventos de conversión, siempre que hayas consentido cookies de publicidad.
4. Finalidades del tratamiento y base jurídica
Conforme exige el art. 13.1.c RGPD, te detallamos a continuación cada finalidad con su base jurídica concreta:
| Finalidad | Base jurídica | Datos tratados |
|---|---|---|
| Gestionar tu cuenta de cliente, procesar pedidos, gestionar entregas, devoluciones, reembolsos y atención post-venta | Ejecución del contrato — art. 6.1.b RGPD | Identificativos, contacto, pedido, pago |
| Emitir facturas y cumplir obligaciones contables y fiscales | Obligación legal — art. 6.1.c RGPD (Ley General Tributaria, Código de Comercio) | Identificativos, fiscales, pedido |
| Cumplir obligaciones de protección al consumidor (garantía 3 años, gestión de reclamaciones, derecho de desistimiento, hojas de reclamación) | Obligación legal — art. 6.1.c RGPD (TRLGDCU, Ley 7/2021) | Identificativos, contacto, pedido, comunicaciones |
| Atender consultas, sugerencias y reclamaciones por email, WhatsApp Business, formulario web o redes sociales | Ejecución del contrato y/o interés legítimo en mantener la relación comercial — art. 6.1.b o 6.1.f RGPD | Identificativos, contacto, comunicaciones |
| Enviar newsletter, novedades, descuentos y comunicaciones comerciales por email o SMS | Consentimiento — art. 6.1.a RGPD y art. 21 LSSICE | Identificativos, contacto, preferencias |
| Realizar publicidad personalizada en redes sociales (Meta, TikTok) y otros sitios web (Google Ads), incluyendo retargeting y audiencias similares | Consentimiento previo informado — art. 6.1.a RGPD + LSSICE art. 22.2 | Cookies, identificadores, datos de uso |
| Analizar el uso de la web para mejorar la experiencia y los productos ofrecidos (analítica web) | Consentimiento — art. 6.1.a RGPD + LSSICE art. 22.2 | Cookies, datos de uso, dispositivo |
| Prevenir y detectar fraude en pagos, abuso de cupones, suplantación de identidad y actividades ilícitas | Interés legítimo — art. 6.1.f RGPD (test de ponderación documentado) | Pedido, pago, IP, dispositivo, identificativos |
| Cumplir con requerimientos judiciales, administrativos o de autoridades competentes | Obligación legal — art. 6.1.c RGPD | Todos los necesarios para responder al requerimiento |
| Gestionar reseñas verificadas (Judge.me) tras tu compra | Consentimiento al solicitarte reseña — art. 6.1.a RGPD | Email, número de pedido, contenido reseña |
| Defensa legal frente a reclamaciones de terceros, ejercicio de acciones judiciales y conservación de pruebas | Interés legítimo — art. 6.1.f RGPD | Todos los relevantes para la defensa |
Decisiones automatizadas y perfilado. Para personalizar la publicidad y las recomendaciones de producto utilizamos perfilado básico, pero ninguna decisión automatizada produce efectos jurídicos o significativamente similares sobre ti en el sentido del art. 22 RGPD. Si discrepas de algún resultado, puedes pedir intervención humana escribiéndonos a hola@pigrabbit.es.
5. Plazos de conservación
Conservamos tus datos durante el tiempo estrictamente necesario para las finalidades indicadas y, en su caso, durante los plazos legales aplicables:
| Categoría de datos | Plazo de conservación | Fundamento |
|---|---|---|
| Datos contables, facturas, libros registro | 6 años desde el cierre del ejercicio | Art. 30 Código de Comercio |
| Datos fiscales (IVA, IRPF de retenciones) | 4 años desde el devengo (extensible si hay actuaciones) | Art. 66 LGT |
| Cuenta de cliente activa | Mientras la cuenta esté activa + 1 año tras última actividad | Ejecución contrato + interés legítimo |
| Datos de pedido tras entrega | 5 años (plazo prescripción civil ordinaria, art. 1964 CC) | Defensa frente a reclamaciones |
| Reclamaciones, devoluciones, hojas de reclamación | 4 años | Defensa legal + normativa autonómica de consumo |
| Newsletter / marketing por email | Hasta que retires el consentimiento o tras 24 meses de inactividad | Consentimiento + buena praxis AEPD |
| Cookies de marketing y analítica | Según política de cookies (entre 1 minuto y 13 meses) | Consentimiento |
| Reseñas publicadas | Mientras la reseña esté visible + plazo de prescripción de acciones | Consentimiento + interés legítimo |
| Logs de seguridad y prevención de fraude | 1 año desde el evento | Interés legítimo + RGPD art. 32 |
| Datos de candidatos que envíen CV | 1 año desde la recepción salvo consentimiento expreso para mayor plazo | Consentimiento + buena praxis AEPD |
Transcurridos los plazos anteriores los datos se eliminan o anonimizan de forma irreversible. Pueden quedar bloqueados (no accesibles para finalidades operativas pero conservados para defensa legal) durante los plazos de prescripción aplicables.
6. Destinatarios de tus datos
Tus datos pueden ser comunicados a las siguientes categorías de destinatarios únicamente para las finalidades indicadas y bajo contrato de encargo de tratamiento (art. 28 RGPD):
| Destinatario | Finalidad | Ubicación / Garantía |
|---|---|---|
| Shopify Inc. y Shopify International Ltd. | Hosting y plataforma de ecommerce | Canadá / Irlanda · DPF + SCC |
| Shopify Payments / Stripe | Procesamiento de pagos con tarjeta | Irlanda · cumple PCI-DSS |
| PayPal (Europe) S.à r.l. et Cie, S.C.A. | Pago con PayPal | Luxemburgo · UE |
| Klarna Bank AB | Pago aplazado, si lo eliges | Suecia · UE |
| Klaviyo Inc. | Email marketing y newsletter | EE.UU. · DPF |
| Meta Platforms Ireland Ltd. | Publicidad en Facebook e Instagram (con consentimiento) | Irlanda · DPF (Meta Inc. EE.UU.) |
| Google Ireland Ltd. | Analítica web y publicidad en Google Ads (con consentimiento) | Irlanda · DPF (Google LLC EE.UU.) |
| TikTok Technology Ltd. | Publicidad en TikTok (con consentimiento) | Irlanda · SCC |
| Cloudflare Inc. | CDN y protección frente a ataques | EE.UU. · DPF |
| Judge.me Ltd. | Gestión de reseñas verificadas | Reino Unido · UK GDPR + acuerdo de adecuación CE |
| Correos, GLS, DHL, SEUR, UPS, Glovo y otros transportistas contratados | Entrega del pedido | UE / España |
| Asesoría fiscal, contable y laboral | Cumplimiento obligaciones fiscales | España |
| Bufete o abogado externo | Defensa frente a reclamaciones | UE |
| Autoridades y jueces competentes | Cumplimiento de obligaciones legales y requerimientos | Según requerimiento |
La lista anterior es exhaustiva en cuanto a categorías. Si en algún momento incorporamos un nuevo encargado relevante, lo añadiremos a esta política antes de iniciar el tratamiento.
7. Transferencias internacionales
Algunos de nuestros encargados de tratamiento están ubicados fuera del Espacio Económico Europeo (EEE), principalmente en Estados Unidos y Reino Unido. En estos casos garantizamos un nivel de protección adecuado mediante los siguientes mecanismos previstos en los arts. 44-49 RGPD:
- Marco de Privacidad de Datos UE-EE.UU. (EU-US Data Privacy Framework), aprobado por Decisión de Adecuación de la Comisión Europea de 10 de julio de 2023, para los proveedores certificados (Shopify, Google, Meta, Klaviyo, Cloudflare).
- Cláusulas Contractuales Tipo (SCC) aprobadas por Decisión 2021/914 de la Comisión Europea, junto con medidas técnicas y organizativas complementarias derivadas del análisis de impacto de transferencia (TIA).
- Decisión de Adecuación de la Comisión Europea para Reino Unido (Decisión UE 2021/1772), prorrogada en 2025, para los proveedores británicos.
Puedes solicitar copia de las garantías aplicadas a una transferencia concreta escribiéndonos a hola@pigrabbit.es.
8. Tus derechos
De conformidad con los arts. 15 a 22 RGPD y arts. 13 a 18 LOPDGDD, te asisten los siguientes derechos:
- Acceso: saber qué datos tuyos tratamos y obtener una copia.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión (“derecho al olvido”): solicitar el borrado de tus datos cuando ya no sean necesarios o retires el consentimiento, salvo obligaciones de conservación legal.
- Limitación del tratamiento: pausar el uso de tus datos mientras se resuelve una controversia.
- Oposición: oponerte al tratamiento basado en interés legítimo o a la elaboración de perfiles publicitarios.
- Portabilidad: recibir tus datos en formato estructurado y comúnmente utilizado, o solicitar su transmisión directa a otro responsable.
- No ser objeto de decisiones automatizadas con efectos jurídicos significativos (art. 22 RGPD), incluida la elaboración de perfiles. Como se ha indicado, Pig Rabbit Shop no toma decisiones puramente automatizadas que produzcan tales efectos.
- Retirar el consentimiento en cualquier momento, sin que afecte a la licitud del tratamiento anterior a la retirada.
- Reclamar ante la Autoridad de Control. En España, la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan 6, 28001 Madrid, www.aepd.es. En Reino Unido, el Information Commissioner’s Office (ICO), ico.org.uk.
9. Cómo ejercer tus derechos
Puedes ejercer tus derechos de forma gratuita por cualquiera de los siguientes medios:
- Email a hola@pigrabbit.es indicando “PROTECCIÓN DE DATOS — [derecho que ejerces]” en el asunto.
- Correo postal a PIG RABBIT UNIVERSE SL — Callejones del Perchel, 8, local 3B1B, 29002 Málaga.
- A través de los enlaces de baja incluidos en cada email comercial (para retirar consentimiento marketing).
Para verificar tu identidad podemos pedirte copia de un documento identificativo o información asociada a tu cuenta. Responderemos en un plazo máximo de un mes, prorrogable hasta dos meses adicionales en caso de solicitudes especialmente complejas o numerosas (art. 12.3 RGPD), informándote en cualquier caso.
Si entiendes que tus derechos no han sido atendidos correctamente, puedes presentar una reclamación previa ante nosotros o directamente ante la AEPD (España) o ante la autoridad de protección de datos de tu Estado miembro de residencia. Listado completo de autoridades EEE.
10. Marketing y comunicaciones comerciales
Solo enviamos comunicaciones comerciales por email o SMS si nos has dado consentimiento expreso, mediante doble opt-in (suscripción + confirmación) en el formulario correspondiente. Puedes retirar tu consentimiento en cualquier momento sin justificación:
- Pulsando el enlace “Cancelar suscripción” o “Darme de baja” incluido en cada email.
- Enviando “BAJA” como respuesta al SMS recibido.
- Escribiéndonos a hola@pigrabbit.es.
Si has comprado un producto en nuestra tienda y no te has dado de baja, podremos enviarte comunicaciones comerciales sobre productos o servicios similares a los adquiridos al amparo del art. 21.2 LSSICE, ofreciéndote en cada comunicación la posibilidad de oponerte.
11. Menores de edad
Nuestros productos están dirigidos a un público general adulto y a aficionados a la cultura K-pop, blindbox y papelería kawaii, sin promoción específica dirigida a menores. De conformidad con el art. 7 LOPDGDD, el tratamiento de datos personales de un menor de edad podrá fundarse en su consentimiento cuando sea mayor de 14 años. Por debajo de esa edad, el consentimiento debe prestarlo el titular de la patria potestad o tutela.
Si detectamos que hemos recopilado datos de un menor de 14 años sin autorización válida procederemos a su supresión inmediata. Si eres padre, madre o tutor legal y crees que tu hijo nos ha facilitado datos sin tu consentimiento, contáctanos a hola@pigrabbit.es.
12. Cookies y tecnologías similares
El uso de cookies y tecnologías similares se rige por nuestra Política de cookies, que forma parte integrante de esta Política de privacidad.
13. Seguridad de la información
Aplicamos medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD), entre ellas:
- Cifrado TLS 1.2/1.3 en todas las comunicaciones (HTTPS).
- Cifrado en reposo de bases de datos (gestionado por Shopify).
- Hashing de contraseñas de cliente (no almacenadas en texto plano).
- Doble factor de autenticación (2FA) en cuentas administrativas.
- Cumplimiento PCI-DSS de procesadores de pago.
- Política interna de accesos por rol y revisión periódica.
- Procedimiento de respuesta a brechas de seguridad con notificación a la AEPD en 72 horas y a los afectados sin dilación indebida si concurren los supuestos del art. 34 RGPD.
Ninguna medida de seguridad es absolutamente infalible. Si detectas algún incidente o tu cuenta puede haber sido comprometida, contáctanos inmediatamente.
14. Representante UK GDPR
Dado que ofrecemos bienes a residentes en Reino Unido y no contamos con establecimiento físico en territorio británico, conforme al art. 27 UK GDPR hemos designado un representante en Reino Unido a efectos de protección de datos:
- Representante: [Pendiente de designación · se actualizará en esta política antes de la fecha límite legal aplicable]
- Email: [pendiente]
El representante actúa como punto de contacto para clientes del Reino Unido y para el Information Commissioner’s Office (ICO).
15. Sitios web y enlaces de terceros
pigrabbit.es puede incluir enlaces a sitios web de terceros (redes sociales, prensa, blogs de fans, etc.) sobre los que no tenemos control. La presente Política no aplica a esos sitios; te recomendamos revisar sus propias políticas antes de facilitarles información.
16. Modificaciones de esta Política
Podremos modificar esta Política de privacidad para adaptarla a cambios normativos, jurisprudenciales, técnicos u operativos. Publicaremos las versiones actualizadas en esta misma URL e indicaremos la fecha de “Última actualización” en el encabezado. Si los cambios afectan sustancialmente a tus derechos, te lo notificaremos por email y, cuando proceda, te solicitaremos un nuevo consentimiento.
17. Contacto
Para cualquier consulta sobre esta Política o sobre el tratamiento de tus datos personales:
- Email: hola@pigrabbit.es
- Dirección postal: PIG RABBIT UNIVERSE SL — Callejones del Perchel, 8, local 3B1B — 29002 Málaga (España)
- Teléfono: 668 829 123
Esta Política de privacidad ha sido redactada conforme al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), el UK GDPR y la Data Use and Access Act 2025 (DUAA), y a la Guía de la AEPD sobre el cumplimiento del deber de informar.