Política de Tratamiento de Datos Amazon Selling Partner API
Última actualización: Octubre 2025
HostelKing utiliza Amazon Selling Partner API para la gestión automatizada de pedidos y facturación fiscal. Esta política describe cómo tratamos los datos obtenidos de Amazon.
1. DATOS RECOPILADOS
Recopilamos información de pedidos (OrderID, fecha, productos, datos fiscales necesarios para facturación) exclusivamente a través de Amazon Selling Partner API oficial mediante autenticación OAuth 2.0.
NO utilizamos: web scraping, bots, APIs no oficiales ni fuentes no autorizadas.
2. FINALIDAD DEL TRATAMIENTO
Los datos se utilizan exclusivamente para:
- Generación de facturas fiscales conformes a legislación española (Real Decreto 1619/2012)
- Actualización de inventario en tiempo real
- Gestión logística de envíos
- Cumplimiento de obligaciones tributarias
NO utilizamos datos para: marketing, publicidad, perfilado de clientes ni venta a terceros.
3. BASE LEGAL (RGPD)
- Art. 6.1.b - Ejecución de contrato: Gestión de pedidos y envíos
- Art. 6.1.c - Obligación legal: Emisión y conservación de facturas fiscales
4. ALMACENAMIENTO Y SEGURIDAD
Ubicación: Microsoft Dynamics 365 Business Central alojado en Azure West Europe (Unión Europea)
Cifrado:
- En reposo: TDE (Transparent Data Encryption) AES-256
- En tránsito: TLS 1.2+
Acceso: Restringido a 4 empleados autorizados con autenticación multifactor (MFA) obligatoria
Datacenter: Certificado ISO 27001, SOC 2
5. PERIODO DE RETENCIÓN
6 años desde la emisión de la factura, según obligación legal española:
- Real Decreto 1619/2012 (Reglamento de Facturación)
- Ley 58/2003 General Tributaria
Transcurrido este periodo, los datos se eliminan automáticamente salvo que exista obligación legal de conservación.
6. COMPARTICIÓN DE DATOS
NO compartimos información con terceros.
Flujo de datos: Amazon SP-API ↔ Business Central (cifrado bidireccional)
Infraestructura técnica: Microsoft Azure como proveedor de hosting con Acuerdo de Procesamiento de Datos (DPA) conforme a RGPD. Microsoft NO accede a los datos.
Excepción legal: Agencia Tributaria española en caso de inspección fiscal (obligación legal).
7. MEDIDAS DE SEGURIDAD
- Control de acceso basado en roles (RBAC)
- Autenticación multifactor obligatoria
- Firewall, IDS/IPS, WAF activos
- Logs de auditoría inmutables (retención 2 años)
- Copias de seguridad cifradas diarias
- Plan de respuesta a incidentes documentado
- Formación anual en protección de datos
8. DERECHOS DE LOS INTERESADOS (RGPD Art. 15-22)
Tiene derecho a:
- Acceso: Obtener copia de sus datos personales
- Rectificación: Corregir datos inexactos
- Supresión: "Derecho al olvido" (salvo obligación legal de retención fiscal)
- Limitación: Restringir el tratamiento en ciertos casos
- Portabilidad: Recibir datos en formato estructurado
- Oposición: Oponerse a tratamientos basados en interés legítimo
Para ejercer sus derechos, contacte a: dpo@hostelking.es
Plazo de respuesta: 30 días naturales
9. DELEGADO DE PROTECCIÓN DE DATOS (DPO)
Email: dpo@hostelking.es
Plazo de respuesta: 72 horas hábiles
Horario: Lunes a Viernes 9:00-18:00 CET
10. NOTIFICACIÓN DE BRECHAS DE SEGURIDAD
En caso de brecha de datos con riesgo:
- Notificación a AEPD en máximo 72 horas
- Notificación a afectados sin dilación si hay alto riesgo
- Comunicación a Amazon vía security@amazon.com
11. CUMPLIMIENTO NORMATIVO
- RGPD (Reglamento UE 2016/679)
- LOPD-GDD (Ley Orgánica 3/2018)
- Real Decreto 1619/2012 (Reglamento de Facturación)
- Ley 58/2003 General Tributaria
- ISO 27001
12. AUTORIDAD DE CONTROL
Agencia Española de Protección de Datos (AEPD)
Web: www.aepd.es
Teléfono: 901 100 099
Sede electrónica: https://sedeagpd.gob.es
Tiene derecho a presentar reclamación ante la AEPD si considera que el tratamiento vulnera sus derechos.
13. CONTACTO
Email general: info@hostelking.es
Email DPO: dpo@hostelking.es
Para consultas sobre esta política o ejercicio de derechos, contactar a: dpo@hostelking.es