Política de privacidad
Protección de sus datos personales — RGPD
Última actualización: Enero 2025
VeraTrace SAS (en adelante 'VeraTrace', 'nosotros', 'nuestro') se compromete a proteger su privacidad y sus datos personales. Esta política de privacidad explica cómo recogemos, utilizamos, almacenamos y protegemos sus datos personales conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (Reglamento General de Protección de Datos o 'RGPD').
Ámbito de aplicación
Esta política se aplica a todos los datos personales que recogemos a través de nuestro sitio web veratrace.xyz, nuestras aplicaciones móviles, nuestros formularios de contacto, y cualquier otra interacción con nuestros servicios.
Esta política no cubre las prácticas de privacidad de sitios de terceros a los que podríamos enlazar. Le recomendamos que lea las políticas de privacidad de cualquier sitio de terceros que visite.
Responsable del tratamiento
El responsable del tratamiento de sus datos personales es:
VeraTrace SAS
35 rue de la République, 95110 Sannois, Francia
Representada por Frédéric Georjon, Presidente
Nuestro Delegado de Protección de Datos (DPO) está disponible para cualquier pregunta relativa a la protección de sus datos personales.
Datos recogidos
Recogemos las siguientes categorías de datos:
Categorías de datos
Datos de identificación
Nombre, apellidos, dirección de correo electrónico, número de teléfono, nombre de la empresa, SIRET (para profesionales), dirección postal
Datos profesionales
Tipo de actividad (productor, restaurante, distribuidor), tamaño de la explotación, número de empleados, certificaciones obtenidas (Bio, HVE, AOP, IGP, Label Rouge), denominaciones, superficies cultivadas
Datos de trazabilidad
Lotes producidos, fechas de cosecha/producción, recorrido de los productos, temperaturas registradas, geolocalización de las entregas, marcas de tiempo blockchain
Datos de transacción
Historial de pedidos, facturas, medios de pago (tokenizados), puntos VRT acumulados, estado pionero
Datos de navegación
Dirección IP (anonimizada tras 13 meses), tipo de navegador, sistema operativo, páginas visitadas, duración de la visita, fuente de tráfico, acciones realizadas
Datos de conexión
Credenciales de acceso (con hash), registros de conexión, historial de sesiones, dispositivos utilizados
Datos de comunicación
Contenido de los mensajes enviados al soporte, historial de intercambios, preferencias de comunicación, consentimientos de newsletter
Datos IoT
Identificadores de sensores, lecturas de temperatura, geolocalización de los trackers, estado de las baterías, alertas activadas
Datos sensibles
No recopilamos datos sensibles en el sentido del artículo 9 del RGPD (origen racial o étnico, opiniones políticas, convicciones religiosas, datos de salud, orientación sexual, etc.) salvo que sea estrictamente necesario y con su consentimiento explícito.
Menores
Nuestros servicios no están dirigidos a menores de 16 años. No recopilamos datos de menores de forma consciente. Si tiene conocimiento de ello, contáctenos para eliminar dichos datos.
Fuentes de los datos
- •Directamente de usted (formularios, introducción manual)
- •De forma automática (cookies, registros, sensores IoT)
- •A través de terceros (socios API, sistemas de información conectados)
- •Fuentes públicas (registros oficiales para verificación)
Finalidades del tratamiento
Sus datos personales se tratan para las siguientes finalidades:
Gestión de solicitudes de contacto
Responder a sus preguntas, solicitudes de información o reclamaciones
Procesamiento de pedidos anticipados
Gestionar su pedido, la entrega y el servicio postventa
Newsletter y comunicaciones de marketing
Informarle sobre nuestras novedades, nuevos productos y ofertas especiales
Mejora de nuestros servicios
Analizar el uso del sitio para mejorar la experiencia de usuario
Obligaciones legales
Cumplir nuestras obligaciones contables, fiscales y regulatorias
Seguridad
Proteger nuestro sitio y usuarios contra fraudes y ciberataques
Prueba blockchain
Anclar los hash de trazabilidad en la blockchain para garantizar la inmutabilidad de las pruebas
Estadísticas e informes
Producir estadísticas agregadas y anonimizadas sobre el uso de la plataforma para nuestros informes internos y para los informes de impacto de los territorios.
Conformidad regulatoria
Cumplir nuestras obligaciones legales (EUDR, DPP, contabilidad, fiscal, APPCC, etc.) y responder a las requisitorias de las autoridades competentes.
Seguridad y prevención del fraude
Proteger la plataforma contra accesos no autorizados, detectar comportamientos anómalos y prevenir el fraude en los datos de trazabilidad.
Prueba blockchain
Anclar los hash de trazabilidad en la blockchain para garantizar la inmutabilidad de las pruebas
Bases legales del tratamiento
Conforme al RGPD, todo tratamiento de datos personales debe basarse en una base legal. Estas son las bases legales en las que fundamentamos nuestros tratamientos:
Consentimiento (Art. 6.1.a RGPD)
Para el envío de newsletters, comunicaciones de marketing y el uso de cookies no esenciales. Puede retirar su consentimiento en cualquier momento.
Newsletter, cookies analíticos, compartición con socios de marketing
Ejecución contractual (Art. 6.1.b RGPD)
Para el procesamiento de pedidos anticipados, la creación de cuenta y la prestación de nuestros servicios.
Servicio de trazabilidad, gestión de cuenta, facturación
Obligación legal (Art. 6.1.c RGPD)
Para cumplir nuestras obligaciones contables, fiscales y regulatorias (conservación de facturas, etc.).
Archivo fiscal, conformidad regulatoria, requerimientos legales
Interés legítimo (Art. 6.1.f RGPD)
Para la mejora de nuestros servicios, la seguridad del sitio, la prevención de fraudes y las estadísticas anonimizadas.
Analíticas, seguridad, mejora del producto
Ponderación de intereses
Cuando invocamos el interés legítimo, hemos realizado una ponderación entre nuestros intereses y sus derechos y libertades. Este análisis está documentado y disponible bajo petición a nuestro DPO.
Plazos de conservación
Conservamos sus datos personales únicamente durante el tiempo necesario para las finalidades para las que fueron recogidos:
| Données | Durée | Justification |
|---|---|---|
| Datos de contacto (prospectos) | 3 años después del último contacto | Recomendación de la autoridad de protección de datos |
| Datos de clientes | Duración de la relación contractual + 5 años (prescripción legal) | Prescripción civil |
| Datos de facturación | 10 años (obligación contable) | Obligaciones regulatorias alimentarias |
| Datos de navegación | 13 meses máximo | Código de comercio |
| Consentimientos | Duración del consentimiento + 5 años (prueba) | Recomendación de la autoridad de protección de datos |
| Datos de newsletter | Hasta la retirada del consentimiento + 3 años | Plazo de prescripción fiscal |
| Consentimientos (pruebas) | Duración del consentimiento + 5 años | Prueba ante posibles controles |
| Datos de newsletter | Hasta la baja + 3 años | Gestión de las oposiciones |
| Tickets de soporte | 3 años tras el cierre | Calidad del servicio |
| Hash blockchain | Permanente | Inmutabilidad blockchain (solo los hash, sin datos personales) |
Archivo
Al término de los plazos de conservación en base activa, ciertos datos pueden archivarse en base intermedia con acceso restringido para cumplir con nuestras obligaciones legales o para el reconocimiento, el ejercicio o la defensa de derechos en sede judicial.
Eliminación
Al expirar los plazos de conservación y archivo, sus datos son eliminados de forma segura o anonimizados de manera irreversible.
Destinatarios de los datos
Sus datos personales pueden ser comunicados a los siguientes destinatarios:
Internamente
Solo los miembros del equipo VeraTrace que necesiten acceder a sus datos en el marco de sus funciones tienen acceso (equipo comercial, soporte al cliente, equipo técnico).
- •Equipo técnico (soporte, desarrollo)
- •Equipo comercial (atención al cliente)
- •Equipo administrativo (facturación, contabilidad)
- •Dirección (supervisión)
El acceso está controlado según el principio de mínimo privilegio y queda registrado en nuestros registros de auditoría.
Proveedores y subcontratistas
Recurrimos a proveedores técnicos para el funcionamiento de nuestros servicios. Todos están sujetos a obligaciones contractuales estrictas (Artículo 28 RGPD):
Hetzner Online GmbH
Alojamiento del sitio web y CDN
Datos de navegación, logs
Amazon Web Services (AWS)
Infraestructura cloud, almacenamiento de datos
Todos los datos de la aplicación
Make (ex-Integromat)
Automatización de formularios y flujos de trabajo
Datos de formularios
Brevo (ex-Sendinblue)
Envío de emails transaccionales y newsletters
Email, nombre, preferencias
Stripe
Procesamiento de pagos
Datos de pago (tokenizados)
Blockchain privada VeraTrace
Anclaje de pruebas de trazabilidad
Hash criptográficos únicamente
Airtable
CRM y gestión de contactos
Datos de contacto profesionales
Esta lista se actualiza periódicamente. Última revisión: enero de 2026.
Socios (con su consentimiento)
Con su consentimiento explícito, ciertos datos pueden ser compartidos con nuestros socios:
- •Cooperativas agrícolas de las que usted sea miembro
- •Entidades territoriales socias (solo datos agregados)
- •Organismos de certificación (para verificación)
Autoridades y obligaciones legales
Sus datos pueden ser comunicados a las autoridades competentes (administración fiscal, autoridades judiciales) bajo solicitud legal o en el marco de nuestras obligaciones legales.
- •Administración tributaria (controles)
- •Autoridades judiciales (requerimientos)
- •CNIL (controles)
- •Autoridades de regulación alimentaria (DGCCRF, DDPP)
Venta de datos
NUNCA vendemos sus datos personales a terceros. No los compartimos con fines publicitarios sin su consentimiento explícito.
Transferencias fuera de la UE
Algunos de nuestros proveedores están ubicados fuera de la Unión Europea. En este caso, nos aseguramos de que se implementen las garantías apropiadas:
Garantías establecidas
Cláusulas contractuales tipo (CCT)
Cláusulas aprobadas por la Comisión Europea (decisión 2021/914) firmadas con nuestros prestadores fuera de la UE
Medidas adicionales
Cifrado de datos en tránsito y en reposo, seudonimización cuando sea posible, evaluación de impacto de las transferencias (TIA)
Alojamiento en la UE preferido
Priorizamos sistemáticamente los prestadores que alojan los datos en la UE
Países implicados
Estados Unidos
Stripe, Airtable
CCT + medidas adicionalesPuede obtener una copia de las garantías implementadas contactándonos en [email protected]
Decisiones automatizadas y elaboración de perfiles
De conformidad con el artículo 22 del RGPD, le informamos de los tratamientos que implican decisiones automatizadas:
Cálculo de la puntuación de trazabilidad
Calculamos automáticamente una puntuación de trazabilidad (de A a E) basada en los datos que usted proporciona: exhaustividad de la información, certificaciones, cobertura de la cadena, etc.
Esta puntuación es informativa y no tiene efectos jurídicos significativos. No afecta a su capacidad de utilizar el servicio.
Puede impugnar esta puntuación contactando con nuestro servicio de asistencia.
Asignación de puntos VRT
Los puntos se calculan automáticamente mediante un algoritmo que tiene en cuenta: distancia recorrida, certificaciones, tipo de producto, cadena de frío, etc.
Este cálculo afecta al número de puntos que usted acumula.
Puede solicitar una revisión manual si considera que se ha cometido un error.
Ausencia de decisión exclusivamente automatizada
Ninguna decisión que produzca efectos jurídicos o que le afecte de manera significativa se toma de forma exclusivamente automatizada. La intervención humana siempre es posible a petición.
Sus derechos
Conforme al RGPD, usted dispone de los siguientes derechos sobre sus datos personales:
Derecho de acceso (Art. 15 RGPD)
Obtener la confirmación de que se están tratando datos que le conciernen y recibir una copia.
Derecho de rectificación (Art. 16 RGPD)
Hacer corregir datos inexactos o completar datos incompletos.
Derecho de supresión (Art. 17 RGPD)
Solicitar la supresión de sus datos en ciertas condiciones ('derecho al olvido').
Derecho a la limitación (Art. 18 RGPD)
Solicitar la limitación del tratamiento de sus datos en ciertas circunstancias.
Derecho a la portabilidad (Art. 20 RGPD)
Recibir sus datos en un formato estructurado y transmitirlos a otro responsable.
Derecho de oposición (Art. 21 RGPD)
Oponerse al tratamiento de sus datos, especialmente con fines de prospección comercial.
Derecho a retirar su consentimiento
Retirar en cualquier momento su consentimiento para los tratamientos basados en él.
Derecho a definir directivas post mortem
Definir directivas relativas a la conservación y comunicación de sus datos después de su fallecimiento.
Derecho a no ser objeto de una decisión automatizada
No ser objeto de una decisión basada exclusivamente en un tratamiento automatizado que produzca efectos jurídicos o que le afecte significativamente.
Cómo ejercer sus derechos
Para ejercer sus derechos, dispone de varias opciones:
En línea
A través de su espacio personal, sección «Mis datos» (para usuarios con cuenta)
Por correo electrónico
Escribiendo a [email protected]
Por correo postal
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France
Por favor adjunte una copia de un documento de identidad para cualquier solicitud.
Nos comprometemos a responder a su solicitud en un plazo de un mes. Este plazo puede prorrogarse dos meses teniendo en cuenta la complejidad y el número de solicitudes.
El ejercicio de sus derechos es gratuito. No obstante, en caso de solicitudes manifiestamente infundadas o excesivas, en particular por su carácter repetitivo, podremos exigir el pago de tasas razonables o negarnos a dar curso a las mismas.
Reclamación ante la AEPD
Si considera que el tratamiento de sus datos personales constituye una violación de sus derechos, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
AEPD - C/ Jorge Juan, 6 - 28001 Madrid
www.aepd.es
También puede presentar una reclamación en línea en el sitio web de la CNIL.
Cookies y rastreadores
Nuestro sitio utiliza cookies y tecnologías similares. Una cookie es un pequeño archivo de texto almacenado en su terminal durante la visita a un sitio web.
¿Qué es una cookie?
Una cookie permite al sitio reconocer su navegador y memorizar determinada información (preferencias, sesión, etc.). Las cookies no pueden ejecutar programas ni transmitir virus.
Tipos de cookies utilizadas
Cookies estrictamente necesarias
Indispensables para el funcionamiento del sitio
Session utilisateur, préférences de langue, sécurité (CSRF), panier
Cookies analíticas
Comprendre comment les visiteurs utilisent le site
Pages vues, durée des visites, parcours utilisateur, erreurs rencontrées
Cookies de preferencias
Mémoriser vos choix pour personnaliser l'expérience
Langue, devise, thème sombre/clair, affichage préféré
No utilizamos:
- Cookies publicitarias o de segmentación
- Rastreadores de redes sociales (Facebook Pixel, etc.)
- Google Analytics ni ningún servicio de seguimiento de Google
- Cookies de terceros con fines de marketing
Gestión de cookies
Puede modificar sus preferencias en materia de cookies en cualquier momento:
Banner de consentimiento
Accesible a través del enlace «Gestionar las cookies» en la parte inferior de cada página
Configuración del navegador
Puede configurar su navegador para rechazar todas las cookies o recibir una alerta cuando se envíe una cookie
Enlaces a la configuración de los principales navegadores
La desactivación de determinadas cookies puede afectar al funcionamiento del sitio y a su experiencia de navegación.
Seguridad de los datos
Implementamos medidas técnicas y organizativas apropiadas para proteger sus datos personales contra la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación o el acceso no autorizado:
Medidas técnicas
- •Cifrado de datos en tránsito (HTTPS/TLS 1.3)
- •Cifrado de datos sensibles en reposo (AES-256)
- •Hash de contraseñas (bcrypt con salt)
- •Autenticación fuerte para el acceso a los sistemas (2FA obligatorio)
- •Cortafuegos de aplicaciones web (WAF) y protección DDoS
- •Supervisión y detección de intrusiones (IDS/IPS)
- •Copias de seguridad cifradas diarias con prueba de restauración mensual
- •Entornos de desarrollo, prueba y producción separados
Medidas organizativas
- •Control de acceso estricto basado en el principio de mínimo privilegio
- •Trazabilidad de los accesos a los datos (registros de auditoría)
- •Formación periódica de los equipos en seguridad y protección de datos
- •Política de gestión de incidentes de seguridad
- •Revisión periódica de los derechos de acceso
- •Cláusulas de confidencialidad para todos los empleados y proveedores
Pruebas y auditorías
Realizamos regularmente pruebas de seguridad (pruebas de intrusión, análisis de vulnerabilidades) y auditorías de nuestras prácticas.
Violación de datos
En caso de violación de datos personales susceptible de generar un riesgo para sus derechos y libertades, nos comprometemos a notificar a la autoridad de protección de datos en 72 horas e informarle lo antes posible si el riesgo es elevado.
- Notificamos a la CNIL en un plazo de 72 horas desde que tenemos conocimiento de la violación
- Le informamos en el menor tiempo posible si el riesgo es elevado para sus derechos y libertades
- Documentamos toda violación en nuestro registro interno
- Adoptamos las medidas necesarias para remediar la violación y limitar sus consecuencias
Especificidades relacionadas con la cadena de bloques
VeraTrace utiliza la tecnología de cadena de bloques para certificar los datos de trazabilidad. A continuación, le indicamos lo que debe saber:
Lo que se almacena en la cadena de bloques
- •Únicamente hashes criptográficos (huellas digitales)
- •Marcas de tiempo de los registros
- •Identificadores de lotes (anonimizados)
Lo que NO se almacena en la cadena de bloques
- •Sus datos personales (nombre, dirección, etc.)
- •Los detalles comerciales (precios, volúmenes)
- •Los datos sensibles de su explotación
Inmutabilidad
Los hashes registrados en la cadena de bloques son por naturaleza inmutables y no pueden eliminarse. Sin embargo, estos hashes no permiten reconstituir sus datos personales. La eliminación de sus datos en nuestros sistemas hace que estos hashes sean inutilizables.
Derecho de supresión y cadena de bloques
Si ejerce su derecho de supresión, eliminamos todos sus datos personales de nuestras bases de datos. Los hashes de la cadena de bloques subsisten, pero ya no pueden vincularse a su identidad ni permiten reconstituir sus datos.
Modificaciones de la política
Nos reservamos el derecho de modificar esta política de privacidad en cualquier momento. En caso de modificación sustancial, le informaremos por email o mediante una notificación visible en nuestro sitio. La fecha de última actualización está indicada al principio de este documento.
Cómo será usted informado
- •Notificación por correo electrónico para las modificaciones sustanciales (usuarios con cuenta)
- •Banner informativo visible en el sitio durante 30 días
- •Actualización de la fecha de «última actualización» en la parte superior del documento
La continuación del uso de nuestros servicios tras la publicación de las modificaciones implica la aceptación de la nueva política.
El historial de versiones está disponible bajo solicitud.
Contactarnos
Para cualquier consulta sobre esta política de privacidad o el tratamiento de sus datos personales:
Delegado de Protección de Datos (DPO)
Preguntas sobre RGPD, ejercicio de derechos, reclamaciones
Dirección postal
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France
Correo certificado para solicitudes formales
Nos comprometemos a responder a cualquier solicitud en un plazo de 5 días hábiles para una primera respuesta, y en el plazo legal de un mes para una respuesta completa.