Política de privacidade
Protección dos seus datos persoais — RGPD
Última actualización: Xaneiro 2026
VeraTrace SAS (en adiante «VeraTrace», «nós», «o noso») comprométese a protexer a súa privacidade e os seus datos persoais. Esta política de privacidade explica como recollemos, usamos, almacenamos e protexemos os seus datos persoais conforme ao Regulamento (UE) 2016/679 (RGPD) e á Lei Orgánica 3/2018 de Protección de Datos Persoais e garantía dos dereitos dixitais (LOPDGDD). Aplícase a todos os datos recollidos a través do noso sitio veratrace.xyz, as nosas aplicacións móbiles, os nosos formularios e os nosos dispositivos IoT.
Ámbito de aplicación
Esta política aplícase a todos os datos persoais que recollemos a través dos nosos sitios web veratrace.xyz (sitio principal), veratrace.eu (sitio Europa) e veratrace.net (sitio internacional), as nosas aplicacións móbiles (VeraTrace Producteur, VeraTrace Client), os nosos formularios de contacto, os nosos kits IoT e etiquetas NFC, e calquera outra interacción cos nosos servizos.
Esta política non cobre as prácticas de privacidade dos sitios de terceiros aos que poidamos establecer ligazóns. Animámolo a ler as políticas de privacidade de calquera sitio de terceiros que visite.
Responsable do tratamento
O responsable do tratamento dos seus datos persoais é:
VeraTrace SAS
35 rue de la République, 95110 Sannois, Francia
Representada por Frédéric Georjon, Presidente
Contacto DPD: [email protected]
O noso Delegado de Protección de Datos (DPO) está dispoñible para calquera cuestión relativa á protección dos seus datos persoais. Pode contactalo en calquera momento para exercer os seus dereitos ou para calquera cuestión relativa ao tratamento dos seus datos.
Datos recollidos
Recollemos as seguintes categorías de datos segundo o seu perfil de usuario e a súa interacción cos nosos servizos:
Categorías de datos
Datos de identificación
Apelido, nome, enderezo de correo electrónico, número de teléfono, nome da empresa, SIRET (para profesionais), enderezo postal
Datos profesionais
Tipo de actividade (produtor, restaurante, distribuidor), tamaño da explotación, número de empregados, certificacións posuídas (Bio, HVE, AOP, IGP, Label Rouge), denominacións, superficies cultivadas
Datos de trazabilidade
Lotes producidos, datas de colleita/produción, percorrido dos produtos, temperaturas rexistradas, xeolocalización das entregas, marcas temporais blockchain
Datos de transacción
Historial de pedidos, facturas, métodos de pagamento (tokenizados), puntos VRT acumulados, estado Pioneer
Datos de navegación
Enderezo IP (anonimizado despois de 13 meses), tipo de navegador, sistema operativo, páxinas visitadas, duración da visita, fonte de tráfico, accións realizadas
Datos de conexión
Credenciais de conexión (con hash), rexistros de conexión, historial de sesións, dispositivos utilizados
Datos de comunicación
Contido das mensaxes enviadas ao soporte, historial de intercambios, preferencias de comunicación, consentimentos para o boletín
Datos IoT
Identificadores dos sensores, lecturas de temperatura, xeolocalización dos rastrexadores, estado das baterías, alertas activadas
Datos sensibles
Non recollemos datos sensibles no sentido do artigo 9 do RXPD (orixe racial ou étnica, opinións políticas, conviccións relixiosas, datos de saúde, orientación sexual, etc.) salvo que sexa estritamente necesario e co seu consentimento explícito.
Menores
Os nosos servizos non están dirixidos a menores de 16 anos. Non recollemos conscientemente datos persoais referentes a menores. Se vostede é pai, nai ou titor e cre que o seu fillo nos facilitou datos persoais, póñase en contacto connosco inmediatamente en [email protected] para que procedamos á súa eliminación.
Fontes dos datos
- •Directamente de vostede (formularios, entrada manual)
- •Automaticamente (cookies, rexistros, sensores IoT)
- •A través de terceiros (API de socios, sistemas de información conectados)
- •Fontes públicas (rexistros oficiais para verificación)
Finalidades do tratamento
Os seus datos persoais son tratados para as seguintes finalidades, cada unha baseada nunha base legal específica:
Prestación do servizo de trazabilidade
Rexistrar e certificar os datos de trazabilidade dos seus produtos, xerar os códigos QR, permitir a consulta polos clientes finais.
Xestión das contas de usuarios
Crear e administrar a súa conta, xestionar os seus accesos, personalizar a súa experiencia.
Tratamento de pedidos e pagos
Xestionar as súas reservas, subscricións, facturas, entregas de material.
Xestión dos puntos e tokens VRT
Calcular, atribuír e seguir os seus puntos de trazabilidade, preparar a conversión en tokens.
Soporte ao cliente
Responder ás súas solicitudes, resolver os problemas técnicos, asegurar o servizo posvenda.
Comunicacións de márketing
Informalo sobre as nosas novidades, novos produtos, ofertas especiais, eventos.
Mellora dos servizos
Analizar o uso da plataforma, desenvolver novas funcionalidades.
Conformidade regulamentaria
Respectar as nosas obrigacións legais: EUDR, DPP, contabilidade, fiscal, HACCP.
Seguridade e prevención de fraudes
Protexer a plataforma contra os accesos non autorizados, detectar os comportamentos fraudulentos.
Proba blockchain
Ancorar os hash de trazabilidade na blockchain para garantir a inmutabilidade das probas. Só os hash son almacenados, non os seus datos persoais.
Bases legais do tratamento
En conformidade co RXPD, todo tratamento de datos persoais debe basearse nunha base legal. Velaquí as bases legais sobre as que fundamentamos os nosos tratamentos :
Consentimento (Art. 6.1.a RGPD)
Para o envío de newsletters, comunicacións de márketing, uso de cookies non esenciais. Pode retirar o seu consentimento en calquera momento a través das ligazóns de baixa ou contactando connosco.
Execución contractual (Art. 6.1.b RGPD)
Para a execución do contrato que nos vincula: creación de conta, prestación do servizo de trazabilidade, xestión de pedidos, soporte ao cliente, atribución dos puntos VRT.
Obrigación legal (Art. 6.1.c RGPD)
Para cumprir as nosas obrigacións legais: conservación de facturas 10 anos (Código de Comercio), conformidade EUDR/DPP, logs de conexión 12 meses, resposta a requirimentos xudiciais.
Interese lexítimo (Art. 6.1.f RGPD)
Para os nosos intereses lexítimos que non prexudican os seus dereitos: mellora dos servizos, seguridade da plataforma, estatísticas anonimizadas, prevención de fraudes.
Balance dos intereses
Cando invocamos o interese lexítimo, procedemos a un balance entre os nosos intereses e os seus dereitos e liberdades. Esta análise está documentada e dispoñible a pedido ante o noso DPO.
Duración de conservación
Conservamos os seus datos persoais unicamente durante o tempo necesario para as finalidades para as que foron recollidos, no respecto das obrigas legais:
| Données | Durée | Justification |
|---|---|---|
| Datos de conta (clientes potenciais) | 3 anos despois do último contacto activo | Recomendación CNIL |
| Datos de conta (clientes) | Duración do contrato + 5 anos | Prescrición civil |
| Datos de rastrexabilidade | 10 anos mínimo | Obrigas regulamentarias alimentarias |
| Datos de facturación | 10 anos | Código de comercio (art. L123-22) |
| Datos de navegación (cookies) | 13 meses máximo | Recomendación CNIL |
| Rexistros de conexión | 12 meses | LCEN / Seguridade |
| Consentimentos (probas) | Duración do consentimento + 5 anos | Proba en caso de control |
| Datos de boletín informativo | Ata a baixa + 3 anos | Xestión das oposicións |
| Tíckets de soporte | 3 anos despois do peche | Calidade do servizo |
| Hash blockchain | Permanente | Inmutabilidade blockchain (só os hash, non os datos) |
Arquivo
Ao remate das duracións de conservación en base activa, certos datos poden ser arquivados en base intermedia con acceso restrinxido para responder ás nosas obrigas legais ou para a constatación, o exercicio ou a defensa de dereitos en xustiza.
Supresión
Á expiración dos prazos de conservación e arquivo, os seus datos son suprimidos de maneira segura ou anonimizados de maneira irreversible.
Destinatarios dos datos
Os seus datos persoais poden ser comunicados aos seguintes destinatarios, no estrito límite do que é necesario para o cumprimento das finalidades descritas arriba :
Internamente
Só os membros do equipo VeraTrace que precisan acceder aos seus datos no marco das súas funcións teñen acceso :
- •Equipo técnico (soporte, desenvolvemento)
- •Equipo comercial (relación co cliente)
- •Equipo administrativo (facturación, contabilidade)
- •Dirección (supervisión)
O acceso está controlado segundo o principio do menor privilexio e rexistrado nos nosos logs de auditoría.
Subcontratistas e provedores
Recorremos a provedores técnicos para o funcionamento dos nosos servizos. Todos están suxeitos a obrigas contractuais estritas (Artigo 28 RXPD) :
Hetzner Online GmbH
Aloxamento do sitio web e CDN
Datos de navegación, logs
Amazon Web Services (AWS)
Infraestrutura na nube, almacenamento de datos
Todos os datos de aplicación
Make (antes Integromat)
Automatización de formularios e fluxos de traballo
Datos de formularios
Brevo (antes Sendinblue)
Envío de correos electrónicos transaccionais e boletíns
Correo electrónico, nome, preferencias
Stripe
Procesamento de pagamentos
Datos de pagamento (tokenizados)
Blockchain privée VeraTrace
Ancoraxe das probas de trazabilidade
Só hash criptográficos
Airtable
CRM e xestión de contactos
Datos de contacto profesionais
Esta lista actualízase regularmente. Última revisión : xaneiro de 2026.
Socios (co seu consentimento)
Co seu consentimento explícito, certos datos poden ser compartidos cos nosos socios :
- •Cooperativas agrícolas das que é membro
- •Colectividades territoriais socias (só datos agregados)
- •Organismos de certificación (para verificación)
Autoridades e obrigas legais
Os seus datos poden ser comunicados ás autoridades competentes baixo solicitude legal :
- •Administración fiscal (controis)
- •Autoridades xudiciais (requisicións)
- •CNIL (controis)
- •Autoridades de regulación alimentaria (DGCCRF, DDPP)
Venda de datos
NUNCA vendemos os seus datos persoais a terceiros. Non os compartimos con fins publicitarios sen o seu consentimento explícito.
Transferencias fóra da UE
Algúns dos nosos provedores de servizos están situados fóra da Unión Europea, principalmente nos Estados Unidos. Neste caso, aseguramos que se establezan garantías apropiadas de conformidade co capítulo V do RXPD:
Garantías establecidas
Cláusulas contractuais tipo (CCT)
Cláusulas aprobadas pola Comisión Europea (decisión 2021/914) asinadas cos nosos provedores estadounidenses
Medidas adicionais
Cifrado de datos en tránsito e en repouso, pseudonimización cando sexa posible, avaliación do impacto das transferencias (TIA)
Aloxamento na UE privilexiado
Privilexiamos sistematicamente os provedores que aloxan os datos dentro da UE
Países afectados
Estados Unidos
Stripe, Airtable
CCT + medidas adicionaisPode obter unha copia das cláusulas contractuais tipo ou das garantías establecidas contactando connosco en [email protected]
Decisións automatizadas e perfilado
De acordo co artigo 22 do RGPD, informámolo dos tratamentos que implican decisións automatizadas:
Cálculo da puntuación de trazabilidade
Calculamos automaticamente unha puntuación de trazabilidade (de A a E) baseada nos datos que proporciona: completude da información, certificacións, cobertura da cadea, etc.
Esta puntuación é informativa e non ten efecto xurídico significativo. Non afecta á súa capacidade de usar o servizo.
Pode impugnar esta puntuación contactando co noso equipo de soporte.
Asignación de puntos VRT
Os puntos calcúlanse automaticamente segundo un algoritmo que ten en conta: distancia percorrida, certificacións, tipo de produto, cadea de frío, etc.
Este cálculo afecta ao número de puntos que acumula.
Pode solicitar unha revisión manual se cre que se cometeu un erro.
Ausencia de decisión exclusivamente automatizada
Non se toma ningunha decisión que produza efectos xurídicos ou que o afecte significativamente de xeito exclusivamente automatizado. A intervención humana é sempre posible baixo petición.
Os seus dereitos
Conforme ao RGPD e á LOPDGDD, vostede dispón dos seguintes dereitos sobre os seus datos persoais:
Dereito de acceso (Art. 15 RGPD)
Obter a confirmación de que datos que lle concirnen son tratados, acceder a estes datos e obter unha copia. Pode tamén solicitar información sobre as finalidades, categorías de datos, destinatarios, duracións de conservación, etc.
Dereito de rectificación (Art. 16 RGPD)
Facer corrixir datos inexactos que lle concirnen ou completar datos incompletos.
Dereito de supresión (Art. 17 RGPD)
Solicitar a supresión dos seus datos en certos casos: datos xa non necesarios, retirada do consentimento, oposición, tratamento ilícito. Este dereito non se aplica se o tratamento é necesario para unha obrigación legal.
Dereito á limitación (Art. 18 RGPD)
Solicitar a limitación do tratamento durante a verificación da exactitude dos datos, se o tratamento é ilícito, ou durante o exame dunha oposición.
Dereito á portabilidade (Art. 20 RGPD)
Recibir os seus datos nun formato estruturado (JSON, CSV) e transmitilos a outro responsable de tratamento.
Dereito de oposición (Art. 21 RGPD)
Opoñerse ao tratamento baseado no interese lexítimo. Pode opoñerse sen motivo ao tratamento con fins de prospección comercial.
Dereito a retirar o seu consentimento
Retirar en calquera momento o seu consentimento para os tratamentos baseados nel, sen afectar a licitude do tratamento anterior.
Dereito a definir directrices post mortem
Definir directrices relativas á conservación e comunicación dos seus datos após o seu falecemento.
Dereito a non ser obxecto dunha decisión automatizada
Non ser obxecto dunha decisión baseada exclusivamente nun tratamento automatizado que produza efectos xurídicos que lle concirnen ou que lle afecten significativamente.
Como exercer os seus dereitos
Para exercer os seus dereitos, ten á súa disposición varias opcións :
En liña
A través do seu espazo persoal, sección « Os meus datos » (para os usuarios cunha conta)
Por correo electrónico
Escribindo a [email protected]
Por correo postal
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, Francia
Rogamos xuntar unha copia dun xustificante de identidade con calquera solicitude (documento de identidade, pasaporte). Esta medida ten por obxecto protexer os seus datos fronte a solicitudes fraudulentas.
Comprometémonos a responder á súa solicitude nun prazo dun mes desde a súa recepción. Este prazo pode prorrogarse por dous meses tendo en conta a complexidade e o número de solicitudes, nese caso será informado desta prórroga.
O exercicio dos seus dereitos é gratuíto. Non obstante, en caso de solicitudes manifestamente infundadas ou excesivas, nomeadamente polo seu carácter repetitivo, podemos esixir o pagamento de gastos razoables ou negarnos a atendelas.
Reclamación ante a AEPD
Se considera que o tratamento dos seus datos persoais constitúe unha violación da regulamentación, ten dereito a presentar unha reclamación ante a Axencia Española de Protección de Datos (AEPD), a autoridade de control española, ou ante a CNIL en Francia:
CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
www.cnil.fr
Tamén pode presentar unha reclamación en liña no sitio web da CNIL.
Cookies e rastrexadores
O noso sitio usa cookies e tecnoloxías similares (píxeles, balizas web, almacenamento local). Unha cookie é un pequeno arquivo de texto almacenado no seu dispositivo (ordenador, smartphone, tableta) durante a visita a un sitio web.
Que é unha cookie?
Unha cookie permite ao sitio recoñecer o seu navegador e memorizar certa información (preferencias, sesión, etc.). As cookies non poden executar programas nin transmitir virus.
Tipos de cookies utilizadas
Cookies estritamente necesarias
Indispensables para o funcionamento do sitio
Sesión de usuario, preferencias de idioma, seguridade (CSRF), carriño
Cookies de rendemento/analíticas
Comprender como os visitantes usan o sitio
Páxinas vistas, duración das visitas, percorrido do usuario, erros atopados
Cookies de preferencias
Memorizar as súas eleccións para personalizar a experiencia
Idioma, moeda, tema escuro/claro, visualización preferida
O que NON usamos
- Cookies publicitarias ou de segmentación
- Rastrexadores de redes sociais (Facebook Pixel, etc.)
- Google Analytics ou calquera servizo de rastrexo de Google
- Cookies de terceiros con fins de marketing
Xestión das cookies
Pode modificar en calquera momento as súas preferencias en materia de cookies:
Banner de consentimento
Accesible a través da ligazón «Xestionar as cookies» na parte inferior de cada páxina
Configuración do navegador
Pode configurar o seu navegador para rexeitar todas as cookies ou para avisalo cando se envíe unha cookie
Ligazóns á configuración dos principais navegadores
A desactivación de certas cookies pode afectar ao funcionamento do sitio e á súa experiencia de navegación.
Seguridade dos datos
Implementamos medidas técnicas e organizativas apropiadas para protexer os seus datos persoais contra a destrución accidental ou ilícita, a perda, a alteración, a divulgación ou o acceso non autorizado:
Medidas técnicas
- •Cifrado dos datos en tránsito (HTTPS/TLS 1.3)
- •Cifrado dos datos sensibles en repouso (AES-256)
- •Hash dos contrasinais (bcrypt con salt)
- •Autenticación forte para o acceso aos sistemas (2FA obrigatorio)
- •Firewall de aplicación (WAF) e protección DDoS
- •Vixilancia e detección de intrusións (IDS/IPS)
- •Copias de seguridade cifradas diarias con proba de restauración mensual
- •Ambientes de desenvolvemento, proba e produción separados
Medidas organizativas
- •Control de acceso estrito baseado no principio do mínimo privilexio
- •Trazabilidade dos accesos aos datos (rexistros de auditoría)
- •Formación regular dos equipos en seguridade e protección de datos
- •Política de xestión dos incidentes de seguridade
- •Revisión regular dos dereitos de acceso
- •Cláusulas de confidencialidade para todos os empregados e provedores
Probas e auditorías
Realizamos regularmente probas de seguridade (probas de intrusión, escaneos de vulnerabilidade) e auditorías das nosas prácticas.
Violación de datos
No caso dunha violación de datos de carácter persoal susceptible de xerar un risco para os seus dereitos e liberdades:
- Notificamos á CNIL dentro das 72 horas seguintes ao coñecemento da violación
- Informámolo canto antes se o risco é elevado para os seus dereitos e liberdades
- Documentamos toda violación no noso rexistro interno
- Tomamos as medidas para remediar a violación e limitar as súas consecuencias
Especificidades relacionadas coa blockchain
VeraTrace utiliza a tecnoloxía blockchain para certificar os datos de trazabilidade. Velaquí o que debe saber :
O que se almacena na blockchain
- •Unicamente hash criptográficos (pegadas dixitais)
- •Marcas de tempo dos rexistros
- •Identificadores de lotes (anonimizados)
O que NON se almacena na blockchain
- •Os seus datos persoais (nome, enderezo, etc.)
- •Os detalles comerciais (prezos, volumes)
- •Os datos sensibles da súa explotación
Inmutabilidade
Os hash rexistrados na blockchain son por natureza inmutables e non poden ser eliminados. Porén, estes hash non permiten reconstituír os seus datos persoais. A eliminación dos seus datos nos nosos sistemas fai que estes hash sexan inutilizables.
Dereito de supresión e blockchain
Se exerce o seu dereito de supresión, eliminamos todos os seus datos persoais das nosas bases de datos. Os hash da blockchain permanecen mais xa non poden vincularse á súa identidade e non permiten reconstituír os seus datos.
Modificacións desta política
Reservámonos o dereito de modificar esta política de privacidade en calquera momento para reflectir os cambios nas nosas prácticas ou os requisitos regulamentarios.
Como será informado
- •Notificación por correo electrónico para cambios substanciais (usuarios cunha conta)
- •Banner informativo visible no sitio durante 30 días
- •Actualización da data de 'última actualización' na parte superior deste documento
O uso continuado dos nosos servizos despois da publicación dos cambios constitúe a aceptación da nova política.
O historial de versións está dispoñible a petición ao noso DPO.
Contáctenos
Para calquera pregunta sobre esta política de privacidade ou o tratamento dos seus datos persoais:
Delegado de Protección de Datos (DPO)
Preguntas do RGPD, exercicio de dereitos, reclamacións
Enderezo postal
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France
Correo certificado para solicitudes formais
Comprometémonos a responder a calquera solicitude nun prazo de 5 días hábiles para unha confirmación inicial, e dentro do prazo legal dun mes para unha resposta completa.