Política de Privacidad

1.1. Esta Política de Privacidad explica cómo GrowthTurn Marcin Chirowski, registrado en Polonia con NIP 7542694209, con domicilio social en al. Zwycięstwa 241/13, 81-521 Gdynia ("Carseto", "nosotros", "nuestro"), recopila, usa, almacena y comparte sus datos personales cuando utiliza nuestro sitio web carseto.com, aplicaciones móviles y servicios relacionados (la "Plataforma").

1.2. Carseto es el responsable del tratamiento de sus datos personales conforme al Reglamento General de Protección de Datos (UE) 2016/679 ("GDPR").

1.3. Para consultas sobre protección de datos, contacte a nuestro responsable de Protección de Datos en: privacy@carseto.com o escriba a: Protección de Datos, GrowthTurn Marcin Chirowski, al. Zwycięstwa 241/13, 81-521 Gdynia, Polonia.

Recopilamos las siguientes categorías de datos personales:

2.1. Account Data - nombre, correo electrónico, contraseña (hasheada), número de teléfono (opcional), nombre de usuario, foto de perfil, país de residencia, idioma preferido.

2.2. Garage & Listing Data - detalles del vehículo que facilita (marca, modelo, año, VIN/número de bastidor, estado, fotos, historial de servicio, documentos), precios de venta, descripciones de anuncios.

2.3. Identity Verification Data - cuando elige verificar su identidad: documento de identidad oficial, documentos de registro empresarial, datos bancarios (para concesionarios), selfie para verificación de identidad. Se procesan solo para verificación y se almacenan con seguridad reforzada.

2.4. Communication Data - mensajes enviados por nuestro sistema de mensajería interna, consultas, solicitudes de soporte, comentarios en anuncios.

2.5. Transaction Data - registros de compras y pagos, detalles de suscripción, dirección de facturación, identificadores de método de pago (no almacenamos números completos de tarjeta; los conserva Stripe).

2.6. Usage Data - páginas visitadas, funciones utilizadas, búsquedas, información del dispositivo (tipo de navegador, sistema operativo, resolución de pantalla), dirección IP, fuente de referencia, duración de sesión.

2.7. Cookie and Tracking Data - como se describe en nuestra Política de Cookies, incluyendo datos analíticos, cookies de preferencia e identificadores de marketing (solo con su consentimiento).

2.8. Third-Party Data - cuando los anuncios provienen de mercados públicos, podemos recopilar información de anuncios disponible públicamente incluyendo descripciones de vehículos y datos de contacto del vendedor publicados por usuarios en esas plataformas.

Procesamos sus datos personales sobre las siguientes bases legales:

3.2. Cuando nos basamos en interés legítimo, hemos realizado una prueba de ponderación y determinado que nuestros intereses no prevalecen sobre sus derechos y libertades. Puede solicitar detalles de nuestras evaluaciones contactando privacy@carseto.com.

4.1. Con otros usuarios. Cuando crea un anuncio, su información del anuncio e información limitada de perfil (nombre de usuario, estado de verificación, miembro desde, tiempo de respuesta) son visibles para otros usuarios. Cuando envía un mensaje, su nombre de usuario y contenido del mensaje son visibles para el destinatario.

4.2. Proveedores de servicios. Compartimos datos con las siguientes categorías de encargados del tratamiento que actúan según nuestras instrucciones:

4.3. Requisitos legales. Podemos divulgar sus datos cuando lo exija la ley, normativa, proceso legal o solicitud gubernamental, incluyendo a las fuerzas del orden si consideramos que un anuncio implica un vehículo robado o actividad fraudulenta.

4.4. Transferencias empresariales. En caso de fusión, adquisición o venta de activos, sus datos pueden transferirse a la entidad adquirente. Le notificaremos cualquier transferencia y cambios en la política de privacidad aplicable.

4.5. Datos agregados. Podemos compartir datos anonimizados y agregados (como tendencias de mercado e índices de precios CCI) con terceros. Estos datos no pueden identificarle.

4.6. No vendemos sus datos personales. No compartimos sus datos personales con terceros para sus propios fines de marketing sin su consentimiento explícito.

5.1. Sus datos se almacenan y procesan principalmente en el Espacio Económico Europeo (EEE). Nuestra base de datos principal está alojada por Supabase en la región EU-West (Frankfurt).

5.2. Algunos de nuestros proveedores de servicios pueden procesar datos fuera del EEE (por ejemplo, ciertos nodos CDN de Vercel). Cuando ocurra, garantizamos salvaguardias adecuadas, incluyendo: Cláusulas Contractuales Tipo (SCCs) de la UE conforme al Art. 46(2)(c) GDPR; o decisiones de adecuación de la Comisión Europea conforme al Art. 45 GDPR.

5.3. Puede solicitar una copia de las salvaguardias que usamos para transferencias internacionales contactando privacy@carseto.com.

6.1. Conservamos sus datos personales solo durante el tiempo necesario para los fines para los que se recopilaron, o según exija la ley.

6.2. Tras el período de retención, los datos se eliminan de forma segura o se anonimizan irreversiblemente con fines estadísticos.

7.1. Bajo el GDPR, tiene los siguientes derechos respecto a sus datos personales:

- Derecho de acceso (Art. 15) - solicitar una copia de los datos personales que conservamos sobre usted.
- Derecho de rectificación (Art. 16) - solicitar corrección de datos inexactos o incompletos.
- Derecho al borrado (Art. 17) - solicitar eliminación de sus datos personales cuando no exista motivo imperioso para su tratamiento (sujeto a obligaciones legales de retención).
- Derecho a limitar el tratamiento (Art. 18) - solicitar que limitemos el uso de sus datos en ciertas circunstancias.
- Derecho a la portabilidad (Art. 20) - recibir sus datos personales en formato estructurado, de uso común y legible por máquina, y transmitirlos a otro responsable.
- Derecho de oposición (Art. 21) - oponerse al tratamiento basado en intereses legítimos, incluida la elaboración de perfiles. Cuando tratamos datos para marketing directo, tiene derecho absoluto a oponerse.
- Derecho a retirar el consentimiento - cuando el tratamiento se base en consentimiento, puede retirarlo en cualquier momento sin afectar la licitud del tratamiento previo.

7.2. Para ejercer cualquiera de estos derechos, contáctenos en privacy@carseto.com. Responderemos en un mes. Si su solicitud es compleja, podemos ampliar dos meses más y le informaremos de cualquier extensión.

7.3. No cobraremos por ejercer sus derechos salvo que las solicitudes sean manifiestamente infundadas o excesivas, en cuyo caso podemos cobrar una tarifa razonable o negarnos a actuar.

7.4. Si no está satisfecho con cómo manejamos su solicitud, tiene derecho a presentar una queja ante la autoridad supervisora polaca: Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, Polonia, https://uodo.gov.pl. También puede presentar queja ante la autoridad supervisora de su país de residencia.

8.1. Implementamos medidas técnicas y organizativas apropiadas para proteger sus datos personales contra acceso, alteración, divulgación o destrucción no autorizados. Incluyen:
- Cifrado de datos en tránsito (TLS 1.2+) y en reposo;
- Row Level Security (RLS) en todas las tablas de la base de datos, limitada a usuarios autenticados;
- Limitación de tasa y prevención de bots en todos los endpoints;
- Auditorías de seguridad y evaluaciones de vulnerabilidades periódicas;
- Controles de acceso limitando el acceso de empleados a datos personales según necesidad;
- Autenticación segura vía Supabase Auth con soporte de autenticación multifactor.

8.2. Aunque nos esforzamos por proteger sus datos, ningún método de almacenamiento o transmisión electrónica es 100% seguro. No podemos garantizar seguridad absoluta.

9.1. La Plataforma no está destinada a personas menores de 18 años. No recopilamos datos personales de menores de forma deliberada. Si cree que hemos recopilado datos de un menor, contáctenos en privacy@carseto.com y los eliminaremos con prontitud.

10.1. Usamos sistemas automatizados para puntuación de confianza, detección de fraude y moderación de anuncios. Estos sistemas pueden influir en la visibilidad de sus anuncios o estado de cuenta. Sin embargo, ninguna decisión automatizada que produzca efectos legales o similares se toma sin supervisión humana.

10.2. Tiene derecho a solicitar revisión humana de cualquier decisión automatizada que le afecte significativamente.

11.1. Podemos actualizar esta Política de Privacidad periódicamente. Si realizamos cambios sustanciales, le notificaremos por correo o mediante un aviso prominente en la Plataforma al menos 30 días antes de que entren en vigor.

11.2. La fecha de la actualización más reciente se muestra en la parte superior de esta página.

12.1. Para cualquier pregunta sobre esta Política de Privacidad o nuestras prácticas de datos, contáctenos en:

- Correo: privacy@carseto.com
- Correo postal: Protección de Datos, GrowthTurn Marcin Chirowski, al. Zwycięstwa 241/13, 81-521 Gdynia, Polonia
- Autoridad supervisora: UODO, ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl