Política de privacidad

Sara Sierra – Escuela de Cosmética Natural | sarasierra.com

1. RESPONSABLE DEL TRATAMIENTO

Nombre y apellidos: Sara Sierra Tornero

NIF: 09025070P

Domicilio: Avenida Sinforiano Madroñero 8, entreplanta, 06011 Badajoz (España)

Correo electrónico: legal@sarasierra.com

Sitio web: https://www.sarasierra.com

2. DATOS PERSONALES QUE SE RECABAN

Dependiendo del formulario o servicio utilizado, se recaban los siguientes datos personales:

2.1. Formulario de contacto

• Nombre, apellidos y correo electrónico.
• Mensaje libre del usuario.

2.2. Formulario de inscripción a la newsletter

• Nombre y correo electrónico.

2.3. Formulario de compra de cursos y productos (WooCommerce)

• Nombre, apellidos, correo electrónico y país.
• Datos de facturación (nombre, apellidos, dirección fiscal y NIF/CIF), únicamente cuando el usuario solicita expresamente la emisión de factura.
• Datos de pago: gestionados directamente por las plataformas de pago seguro Stripe y PayPal. La titular no tiene acceso ni almacena datos bancarios completos.

2.4. Formulario de registro en el área de alumnas

• Nombre, apellidos y correo electrónico. Las credenciales de acceso (usuario y contraseña) son generadas o establecidas por el propio usuario.

2.5. Formulario de inscripción a cursos gratuitos y recursos descargables

• Nombre y correo electrónico.

2.6. Formulario de asesoría personalizada

• Nombre, correo electrónico y descripción técnica del problema de formulación.

Aviso importante: Algunos usuarios incluyen voluntariamente, en la descripción de su consulta, información de carácter médico o sanitario (enfermedades cutáneas propias o de terceros, condiciones de salud, etc.). Esta información no es solicitada por la titular y, en caso de ser recibida, será tratada con la máxima confidencialidad y se utilizará exclusivamente para dar respuesta técnica a la consulta formulada. La titular se limita siempre a responder desde una perspectiva técnica de formulación cosmética, recomendando expresamente la consulta con un especialista médico cuando la cuestión exceda dicho ámbito. Estos datos no serán incorporados a ninguna base de datos comercial ni utilizados para ninguna otra finalidad.

Base jurídica adicional: En caso de que el usuario facilite datos de salud de forma voluntaria, la base técnica es el consentimiento explícito del interesado (Art. 9.2.a RGPD), el cual se entiende otorgado al enviar el formulario tras haber sido informado de que dicha información solo se usará para la resolución técnica de su consulta.»

2.7. Formularios de Valoración y Reseñas (Google Forms y forms.app)

Datos: Nombre, correo electrónico, nivel de satisfacción, expectativas formativas y testimonios/reseñas.

Finalidad: Mejora de la calidad docente y, en caso de consentimiento específico, publicación de la reseña en la web o redes sociales con fines promocionales.

Nota sobre los proveedores: Estos datos se gestionan a través de las plataformas Google Forms (Google LLC) y forms.app (Forms App Inc.).

Ambas herramientas operan bajo sus respectivas políticas de privacidad y cumplen con los marcos de seguridad y garantías para transferencias internacionales de datos detallados en el apartado 5 de esta política.

Puedes consultar la política de privacidad específica de forms.app en su sitio web oficial.

3. FINALIDADES, BASES JURÍDICAS Y PLAZOS DE CONSERVACIÓN

3.1. Gestión de la relación contractual (cursos, productos y asesorías)

Finalidad: Gestionar la contratación, el acceso a los contenidos adquiridos, la emisión de recibos o facturas y el soporte técnico.

Base jurídica: Ejecución de un contrato (art. 6.1.b RGPD).

Plazo de conservación: Durante la vigencia de la relación contractual y, posteriormente, durante los plazos legalmente exigidos (4 años para obligaciones tributarias conforme a la Ley General Tributaria; 5 años para obligaciones contractuales conforme al Código Civil).

3.2. Envío de la newsletter y comunicaciones comerciales

Finalidad: Enviar contenidos formativos, novedades, promociones y comunicaciones comerciales relacionadas con los servicios de la titular.

Base jurídica: Consentimiento expreso del interesado (art. 6.1.a RGPD), otorgado mediante la suscripción voluntaria al formulario de newsletter o, en el caso de clientes, el interés legítimo reconocido por el art. 21.2 de la Ley 34/2002 (LSSI-CE) para el envío de comunicaciones sobre productos o servicios similares a los ya contratados.

Plazo de conservación: Hasta que el usuario retire su consentimiento o solicite la baja, que podrá ejercerse en cualquier momento a través del enlace de cancelación incluido en cada comunicación.

3.3. Atención de consultas y contacto

Finalidad: Responder las consultas, dudas o solicitudes formuladas a través del formulario de contacto o por correo electrónico.

Base jurídica: Interés legítimo de la titular (art. 6.1.f RGPD) o, en su caso, consentimiento del interesado.

Plazo de conservación: Hasta la resolución de la consulta y, como máximo, durante 1 año desde la última comunicación.

3.4. Análisis estadístico y mejora del Sitio Web

Finalidad: Analizar el comportamiento de los usuarios en el Sitio Web con el fin de mejorar la experiencia de navegación y los contenidos ofrecidos.

Base jurídica: Consentimiento del interesado (art. 6.1.a RGPD), otorgado mediante la aceptación de cookies analíticas en el banner de cookies.

Herramientas utilizadas: Google Analytics y Metricool.

Plazo de conservación: Conforme a los plazos establecidos por cada herramienta (máximo 26 meses para Google Analytics).

3.5. Publicidad personalizada en redes sociales y buscadores

Finalidad: Gestionar campañas publicitarias en Meta (Facebook e Instagram Ads) y Google Ads, incluyendo la creación de audiencias personalizadas.

Base jurídica: Consentimiento del interesado (art. 6.1.a RGPD), otorgado mediante la aceptación de cookies publicitarias.

Plataformas: Meta Platforms Ireland Ltd. y Google LLC (véase apartado de transferencias internacionales).

4. DESTINATARIOS Y ENCARGADOS DEL TRATAMIENTO

Los datos personales recabados no serán cedidos a terceros sin el consentimiento del interesado, salvo en los siguientes supuestos:

Encargados del tratamiento necesarios para la prestación del servicio, con quienes se han suscrito los correspondientes contratos o cláusulas de encargado del tratamiento conforme al art. 28 RGPD:

  — Flodesk Inc.: plataforma de email marketing y gestión de suscriptores (EE.UU., con transferencia amparada en las garantías adecuadas del art. 46 RGPD).

  — Stripe, Inc.: procesamiento de pagos con tarjeta bancaria (EE.UU., con transferencia amparada en las garantías adecuadas).

  — PayPal (Europe) S.à r.l. et Cie, S.C.A.: procesamiento de pagos mediante PayPal (Luxemburgo, dentro del EEE).

  — Automattic Inc. (WordPress/WooCommerce): alojamiento y gestión de la plataforma del Sitio Web.

  —Thrivecart (Web-Mo Inc.): Plataforma de carrito de compra y gestión de pagos (EE.UU., con transferencia amparada en las garantías adecuadas). Se utiliza para el procesamiento de ventas de forma recurrente o puntual según la oferta formativa.

  — LearnDash (Liquid Web, LLC): gestión de la plataforma de formación online (escuela.sarasierra.com).

  — Zapier Inc.: automatización de flujos de trabajo entre aplicaciones (EE.UU.).

  — ManyChat Inc.: automatización de respuestas en redes sociales mediante secuencias de mensajes programados (EE.UU.).

  — Google LLC: análisis web (Google Analytics) y publicidad (Google Ads) (EE.UU.).

  — Meta Platforms Ireland Ltd.: publicidad en redes sociales (Facebook/Instagram Ads) (Irlanda, EEE, con posibles transferencias a EE.UU.).

  — Zoom Video Communications, Inc.: realización de sesiones en directo o videollamadas (EE.UU.).

  — Declarando Asesores, S.L.: herramienta de facturación y asesoramiento fiscal (España).

  — Personal de soporte y gestión externa: La titular cuenta con la colaboración de prestadores de servicios de asistencia virtual y gestión de redes sociales/comunicación (Community Manager).

Estas profesionales actúan como encargadas del tratamiento y tienen acceso restringido únicamente a las herramientas y datos necesarios para el desempeño de sus funciones (como la gestión de plataformas de email marketing, automatizaciones y perfiles sociales). Todas ellas actúan bajo las instrucciones directas y la responsabilidad de Sara Sierra Tornero, habiendo suscrito los correspondientes compromisos de confidencialidad y contratos de encargo de tratamiento, conforme a lo exigido por el art. 28 RGPD.

• Administraciones públicas, órganos judiciales o fuerzas y cuerpos de seguridad del Estado, cuando así lo exija la normativa aplicable.

5. TRANSFERENCIAS INTERNACIONALES DE DATOS

Algunos de los proveedores indicados en el apartado anterior están ubicados fuera del Espacio Económico Europeo (EEE), principalmente en Estados Unidos. Dichas transferencias se realizan amparadas en alguna de las siguientes garantías previstas en el artículo 46 del RGPD:

• Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea.
• Decisión de adecuación de la Comisión Europea (cuando aplique, como en el caso del Marco de Privacidad de Datos UE-EE.UU. – EU-U.S. Data Privacy Framework).

Se informa adicionalmente que la titular cuenta con clientas y alumnas residentes fuera de España y fuera de la Unión Europea. En estos casos, el tratamiento de sus datos se realiza en los mismos términos descritos en esta política, aplicándose las garantías adecuadas conforme al RGPD.

El usuario puede solicitar información detallada sobre las garantías aplicables a cada transferencia internacional dirigiéndose a legal@sarasierra.com.

6. INTELIGENCIA ARTIFICIAL Y HERRAMIENTAS AUTOMATIZADAS

La titular utiliza ChatGPT (OpenAI, Inc.) como herramienta de apoyo interno para tareas de redacción y mejora de contenidos, análisis de necesidades formativas y optimización de respuestas académicas. En ningún caso se introducen en esta herramienta datos personales identificables de clientes o alumnas. Solo se utilizan textos genéricos de consultas o preguntas, debidamente desvinculados de cualquier dato identificativo.

La herramienta ManyChat se utiliza para la automatización de respuestas en redes sociales (Instagram y Facebook) mediante secuencias de mensajes predefinidos y programados por la titular. No realiza perfilado automatizado ni toma decisiones con efectos jurídicos o significativos sobre los usuarios.

No se realiza perfilado automatizado de usuarios que produzca efectos jurídicos ni decisiones automatizadas de naturaleza significativa en los términos del artículo 22 del RGPD.

7. DERECHOS DE LOS INTERESADOS

El usuario tiene derecho a ejercer, en cualquier momento y de forma gratuita, los siguientes derechos reconocidos por el RGPD y la LOPDGDD:

• Derecho de acceso: obtener confirmación sobre si se están tratando sus datos personales y, en su caso, acceder a los mismos.
• Derecho de rectificación: solicitar la corrección de datos inexactos o incompletos.
• Derecho de supresión («derecho al olvido»): solicitar la eliminación de sus datos cuando, entre otros motivos, ya no sean necesarios para los fines para los que fueron recabados.
• Derecho de oposición: oponerse al tratamiento de sus datos en determinadas circunstancias.
• Derecho a la limitación del tratamiento: solicitar que se restrinja el tratamiento de sus datos en los supuestos previstos legalmente.
• Derecho a la portabilidad: recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.
• Derecho a retirar el consentimiento: en aquellos tratamientos cuya base jurídica sea el consentimiento, retirar dicho consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo a su retirada.
• Derecho a no ser objeto de decisiones automatizadas individuales: incluido el perfilado, que produzca efectos jurídicos o le afecte significativamente de forma similar.

Para ejercer cualquiera de estos derechos, el usuario podrá dirigirse mediante escrito a:

Correo electrónico: legal@sarasierra.com

Dirección postal: Avenida Sinforiano Madroñero 8, entreplanta, 06011 Badajoz (España)

Deberá identificarse debidamente (nombre, apellidos y documento acreditativo de identidad) e indicar claramente el derecho que desea ejercer. La titular responderá en el plazo máximo de un mes desde la recepción de la solicitud, prorrogable en los casos previstos en el art. 12.3 RGPD.

En caso de que el usuario entienda que sus derechos no han sido debidamente atendidos, podrá presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), a través de su sede electrónica: https://www.aepd.es.

8. COOKIES

El Sitio Web utiliza cookies propias y de terceros. La información detallada sobre los tipos de cookies, su finalidad, período de conservación y opciones de gestión se encuentra recogida en la Política de Cookies, accesible desde el banner de cookies y el pie de página del Sitio Web.

El usuario puede configurar o rechazar las cookies a través del panel de configuración de cookies del Sitio Web o directamente desde la configuración de su navegador. La desactivación de determinadas cookies puede afectar al correcto funcionamiento del Sitio Web o al acceso al área privada de alumnas.

9. MEDIDAS DE SEGURIDAD

La titular ha adoptado las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales y evitar su alteración, pérdida, tratamiento o acceso no autorizado, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, todo ello conforme a lo dispuesto en el artículo 32 del RGPD.

Los datos de los clientes se alojan en las plataformas Flodesk (email marketing) y WooCommerce (comercio electrónico), que cuentan con sus propias medidas de seguridad. El acceso a estos datos por parte del equipo de la titular —incluyendo la asistente virtual— se realiza de forma restringida y bajo instrucciones precisas sobre confidencialidad.

Los datos de pago son procesados íntegramente por Stripe y PayPal, plataformas certificadas conforme al estándar PCI DSS, por lo que la titular no almacena datos bancarios completos de los usuarios.

9.1. Protocolo de Notificación de Brechas de Seguridad:

En caso de que se produzca una brecha de seguridad que afecte a los datos personales tratados por la titular (como acceso no autorizado, pérdida accidental o alteración de datos), se procederá conforme a lo establecido en el RGPD:

• Notificación a la Autoridad de Control: Si la brecha de seguridad constituye un riesgo para los derechos y libertades de las personas, Sara Sierra Tornero notificará a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas tras tener constancia de la misma, salvo que sea improbable que dicha brecha suponga un riesgo.
• Comunicación a los Interesados: Si la brecha de seguridad supone un alto riesgo para los derechos y libertades de los usuarios (por ejemplo, filtración de credenciales de acceso a la escuela o datos de facturación), la titular lo comunicará a los afectados de forma clara y sencilla, sin dilación indebida, a través del correo electrónico facilitado, indicando la naturaleza de la brecha, las posibles consecuencias y las medidas adoptadas para mitigar los efectos.
• Registro Interno: Todas las incidencias de seguridad quedarán documentadas en un registro interno de brechas de datos, independientemente de si han sido notificadas a la AEPD o no, para garantizar la trazabilidad y la mejora continua del sistema de seguridad.

10. MODIFICACIONES DE LA POLÍTICA DE PRIVACIDAD

La titular se reserva el derecho a modificar la presente Política de Privacidad para adaptarla a novedades legislativas, jurisprudenciales o de práctica habitual del sector. En tal caso, se publicará la versión actualizada en el Sitio Web con indicación de la fecha de revisión. Se recomienda la consulta periódica de este documento. Si los cambios afectasen a tratamientos cuya base jurídica sea el consentimiento, se solicitará nuevo consentimiento a los interesados.