Skip to content
Thrifted.mt LogoTHRIFTED.mt

Política de privacidad

Última actualización: mayo de 2026

1. Introducción

Bienvenido a Thrifted.mt. Respetamos tu privacidad y nos comprometemos a proteger tus datos personales. Esta política de privacidad explica cómo tratamos tus datos personales cuando visitas nuestro sitio web y te informa sobre tus derechos en materia de privacidad y cómo te protege la ley.

2. Responsable del tratamiento

El responsable del tratamiento de todos los datos personales tratados a través de Thrifted.mt es:

  • Entidad: Joshua Fielding (empresario individual), que opera bajo el nombre comercial Thrifted.mt
  • Dirección: 53 Triq Il-Lunzjata, Apartamento 3, Julian Flats, San Gwann SGN 1312, Malta
  • Correo electrónico: [email protected]

Si tiene alguna pregunta sobre el tratamiento de sus datos personales, póngase en contacto con nosotros en la dirección indicada anteriormente.

3. Datos que recopilamos

Podemos recopilar, utilizar, almacenar y transferir diferentes tipos de datos personales sobre usted, que se clasifican de la siguiente manera:

  • Datos de identidad: nombre, segundo nombre (si se facilita), apellidos, nombre de usuario o identificador similar, fecha de nacimiento, número de documento de identidad oficial (cifrado en reposo con AES-256-GCM, conservando sin cifrar únicamente los 4 últimos caracteres y una pista del país para mostrar una referencia enmascarada) y estado de la verificación de pagos del vendedor. En el caso de los vendedores heredados que utilizaron nuestro antiguo flujo interno de verificación de identidad, esto también puede incluir registros relativos a documentos de identidad oficiales (véase la sección 5).
  • Datos de contacto: dirección de correo electrónico, dirección de entrega, dirección de pagos y número de teléfono.
  • Datos financieros: número de cuenta bancaria (IBAN), nombre del titular de la cuenta bancaria, identificadores de cuenta conectada de Stripe y datos de la tarjeta de pago. Tu IBAN se cifra en reposo y se utiliza para configurar los pagos de Stripe Connect o procesar las retiradas del monedero heredado (véase la sección 5a). Los datos de la tarjeta de pago son procesados exclusivamente por Stripe y nunca los almacenamos.
  • Datos de transacciones: información sobre los pagos que has realizado y recibido, así como detalles de los productos que has comprado o vendido en nuestra plataforma.
  • Datos técnicos: dirección IP, datos de inicio de sesión, tipo y versión del navegador, configuración de zona horaria y ubicación, sistema operativo, plataforma y un hash de huella digital del dispositivo (derivado del tamaño de pantalla, profundidad de color, relación de píxeles, zona horaria, idioma y plataforma) utilizado para la prevención del fraude y la detección de elusión de prohibiciones.
  • Datos de perfil: nombre de usuario, contraseña, compras o pedidos realizados por usted, intereses, preferencias y comentarios.
  • Contenido del anuncio: fotos del artículo, descripciones, precios y cualquier otra información que facilites al crear un anuncio.
  • Datos de promoción: registros de compra de promociones de anuncios, créditos promocionales gratuitos otorgados y utilizados, duraciones y fechas de vencimiento de las promociones.
  • Datos de tarjetas regalo: cuando compras o canjeas una tarjeta regalo, almacenamos el código de la tarjeta, el nombre del remitente y el mensaje opcional, el nombre y correo electrónico del destinatario si los facilitas, el importe, el historial de canje y un reconocimiento con marca temporal de las condiciones de la tarjeta regalo (véase la sección 4).
  • Registros de consentimiento: un registro de auditoría inmutable de cada concesión o retirada de consentimiento para cookies o análisis (finalidad, marca temporal, origen, versión de la política, una dirección IP hasheada y el agente de usuario) para que podamos demostrar el cumplimiento del artículo 7(1) del RGPD.

Sólo recogemos los datos personales necesarios para los fines descritos en esta política. Siempre que es posible, utilizamos la anonimización o seudonimización para reducir la identificabilidad de los datos.

4. Cómo utilizamos tus datos y la base jurídica

Solo utilizamos tus datos personales cuando la ley nos lo permite. La base jurídica (conforme al artículo 6 del RGPD) para cada tipo de tratamiento es:

  • Creación de cuentas y autenticación: Ejecución de un contrato (art. 6, apartado 1, letra b)).
  • Tramitación de pedidos y pagos: cumplimiento del contrato (art. 6, apartado 1, letra b)).
  • Verificación de pagos del vendedor a través de Stripe Connect: cumplimiento del contrato (art. 6, apartado 1, letra b)), obligación legal cuando se aplican las normas de cumplimiento de pagos (art. 6, apartado 1, letra c)) e interés legítimo en la prevención del fraude (art. 6, apartado 1, letra f)).
  • Creación de anuncios asistida por IA (Gemini/OpenAI): interés legítimo en la calidad de la plataforma (art. 6, apartado 1, letra f)). El tratamiento de las imágenes de tus anuncios mediante IA solo se lleva a cabo cuando utilizas explícitamente la función de autocompletado con IA o la carga masiva.
  • Moderación automatizada de imágenes de anuncios en 4 dimensiones: interés legítimo en la integridad del mercado (art. 6, apartado 1, letra f)). Véase la sección 6a.
  • Comunicaciones de la plataforma (correos electrónicos, notificaciones): ejecución del contrato (art. 6, apartado 1, letra b)) para los mensajes transaccionales; interés legítimo (art. 6, apartado 1, letra f)) para las actualizaciones de la plataforma.
  • Análisis del lado del cliente (Google Analytics, páginas vistas de PostHog): Consentimiento (art. 6, apartado 1, letra a)), únicamente tras el consentimiento para el uso de cookies.
  • Análisis operativos del lado del servidor (seguimiento de eventos de PostHog para pedidos, paquetes, señales de fraude): interés legítimo en la integridad de la plataforma y la prevención del fraude (art. 6, apartado 1, letra f)). Estos eventos están vinculados a las operaciones de la plataforma, no al comportamiento de navegación, y no pueden estar sujetos al consentimiento ya que se activan desde webhooks del lado del servidor.
  • Pista de auditoría de la compra de tarjetas regalo: Cuando compras una tarjeta regalo, registramos tu dirección IP, el agente de usuario del navegador y la marca temporal en el momento en que aceptas las condiciones de la tarjeta regalo, vinculados a la sesión de Stripe y a la tarjeta regalo emitida. Base jurídica: interés legítimo en la defensa frente a contracargos y la prevención del fraude (art. 6, apartado 1, letra f)). Conservación: 7 años conforme a los requisitos malteses de conservación de registros contables.
  • Prevención del fraude, gestión de reclamaciones, seguridad: interés legítimo (art. 6, apartado 1, letra f)). Esto incluye el análisis automatizado de los metadatos de la conexión, la dirección IP, el país aproximado y el tipo de red (por ejemplo, si una conexión utiliza una VPN, proxy, red de alojamiento o centro de datos, o la red Tor), para marcar los registros e inicios de sesión potencialmente fraudulentos para su revisión humana. Estas comprobaciones se ejecutan en nuestra propia infraestructura frente a listas de redes disponibles públicamente; no se comparten datos personales con terceros para este fin, y ninguna cuenta se restringe por este análisis sin revisión humana.
  • Cumplimiento de la legislación y la normativa (conservación de registros financieros): Obligación legal (art. 6, apartado 1, letra c)).

5. Verificación del vendedor y verificación de identidad heredada

La verificación del vendedor y el cumplimiento en materia de pagos se gestionan ahora a través de Stripe Connect. Ya no aceptamos nuevas cargas de documentos de identidad oficiales a través de nuestro propio sistema interno de verificación de identidad.

  • Recopilación a través de Stripe Connect: Para recibir pagos, los vendedores facilitan nombre legal, fecha de nacimiento, dirección, número de teléfono, dirección de correo electrónico, número de documento de identidad oficial y datos de la cuenta bancaria. El número de identidad se cifra en reposo con AES-256-GCM en nuestra base de datos (solo los 4 últimos caracteres se conservan en claro para mostrarlos enmascarados) y también se reenvía a Stripe para completar la cuenta conectada. Stripe puede solicitar directamente información adicional sobre identidad, empresa o fiscalidad durante el proceso de incorporación.
  • Tratamiento por Stripe: Stripe procesa la verificación de la cuenta conectada, las comprobaciones de «conozca a su cliente» (KYC) y la elegibilidad para pagos conforme a sus propios términos legales y política de privacidad. Recibimos y almacenamos el ID de cuenta conectada de Stripe y los indicadores de estado, como si los cargos y los pagos están habilitados.
  • Uso por parte de la plataforma: Utilizamos el estado de verificación del vendedor para decidir si los anuncios pueden permanecer visibles, si se pueden realizar pagos y si se requiere una revisión adicional de cumplimiento.
  • Registros internos heredados de identidad: Si previamente enviaste un documento de identidad a nuestro antiguo flujo interno de verificación, ese documento fue revisado manualmente por un miembro del equipo, no por bots ni modelos de IA. Ya no se aceptan nuevas cargas a este flujo interno.
  • Almacenamiento temporal heredado: Las cargas heredadas de documentos de identidad se cifraron y se colocaron en un almacenamiento temporal seguro con eliminación automática al cabo de 24 horas.
  • Archivo y conservación heredados: Los documentos de identidad heredados aprobados se cifraron con AES-256-GCM y se conservaron hasta 180 días desde la verificación, tras lo cual se eliminaron de forma definitiva. Los documentos rechazados se eliminaron de inmediato. Puede solicitar su eliminación anticipada en cualquier momento a través de [email protected].
  • Registros de auditoría: Los registros de acceso relacionados con las acciones de verificación de identidad heredada se conservan durante 7 años para cumplir con los requisitos legales y de prevención del fraude. Los registros contienen únicamente metadatos (acción, marca temporal, dirección IP anonimizada, identificador de usuario, identificador del revisor, agente de usuario del navegador y detalles de la acción, como el motivo del rechazo), nunca imágenes de los documentos.
  • Base jurídica: El tratamiento es necesario para la ejecución del contrato, el cumplimiento legal y por interés legítimo en la prevención del fraude.

5a. IBAN (número de cuenta bancaria)

Para que los vendedores puedan recibir sus ganancias, recopilamos y almacenamos un número de cuenta bancaria internacional (IBAN).

  • Recopilación: El IBAN se introduce de forma voluntaria en el perfil de tu cuenta o en el flujo de configuración de pagos. Es necesario para configurar los pagos de Stripe Connect o para procesar las retiradas del monedero heredado.
  • Cifrado: Tu IBAN se cifra con AES-256-GCM inmediatamente al guardarlo y se almacena cifrado.
  • Stripe Connect: Cuando configuras una cuenta de pagos conectada, tu IBAN y el nombre del titular de la cuenta pueden enviarse a Stripe para crear o actualizar tu cuenta bancaria externa.
  • Acceso: El IBAN descifrado solo es accesible para el titular de la cuenta (en sus propias páginas de perfil y de pagos) y para el personal autorizado de Thrifted.mt para asistencia con pagos, retiradas heredadas y comprobaciones de cumplimiento.
  • Conservación: Tu IBAN se conserva mientras esté guardado en tu perfil. Puedes actualizarlo o eliminarlo en cualquier momento.
  • Base jurídica: El tratamiento es necesario para la ejecución del contrato (atender su solicitud de pago por las ventas).

6. Cookies y consentimiento

Utilizamos cookies para mejorar tu experiencia.

  • Cookies estrictamente necesarias: Son imprescindibles para el funcionamiento del sitio web (por ejemplo, para las sesiones de inicio de sesión y la seguridad). No requieren consentimiento.
  • Cookies de autenticación: Una cookie de sesión HTTP-only (denominada userId) que firmamos con HMAC-SHA256 para mantener tu sesión de inicio de sesión y autenticar las solicitudes de API. El SDK de autenticación de Firebase, además, almacena sus propios tokens de ID y de refresco en el almacenamiento local del navegador. Ambos son estrictamente necesarios y no requieren consentimiento.
  • Cookies de análisis (Google Analytics, PostHog): se utilizan para comprender cómo interactúas con el sitio web y mejorar la experiencia de la plataforma. No se instalan a menos que des tu consentimiento explícito a través de nuestro banner de cookies. Todos los datos de PostHog se procesan en la UE.

6a. Toma de decisiones automatizada

Utilizamos el tratamiento automatizado de forma limitada en los siguientes ámbitos:

  • Moderación automatizada de imágenes de anuncios: Cada imagen de un anuncio se evalúa automáticamente en cuatro dimensiones: probabilidad de ser imagen de archivo, contenido NSFW, relevancia para la categoría y probabilidad de haber sido generada por IA. Si alguna puntuación supera un umbral, la imagen o el anuncio puede ocultarse para revisión manual, rechazarse (siendo necesaria una nueva carga) o eliminarse. Puedes recurrir cualquier decisión de moderación automatizada a través de [email protected].
  • Generación de anuncios mediante IA: cuando utilices el autocompletado con IA o la carga masiva, es posible que tus imágenes se envíen a Google Gemini (o, en su defecto, a OpenAI) para sugerir contenido para los anuncios. Las sugerencias son meramente orientativas y deben ser revisadas por ti antes de su publicación.
  • Moderación de mensajes del chat: los mensajes enviados entre usuarios se analizan automáticamente en busca de contenido prohibido mediante filtros basados en reglas y análisis con IA (OpenAI como clasificador principal y Google Gemini como alternativa). Los mensajes que infrinjan nuestras directrices comunitarias pueden ser bloqueados o marcados para revisión manual. Puedes recurrir cualquier decisión de moderación en [email protected].
  • Comprobaciones contra el blanqueo de capitales y de riesgo de pagos: Supervisamos los patrones de transacciones, los límites de retirada y la coincidencia del nombre del titular de la cuenta bancaria. También podemos realizar el cribado de sanciones o PEP cuando sea necesario. Si se detecta un patrón sospechoso, tu cuenta puede ser restringida temporalmente a la espera de una revisión manual. Tienes derecho a solicitar una revisión humana de cualquier restricción automatizada en [email protected].

De conformidad con el artículo 22 del RGPD, tiene derecho a no ser objeto de una decisión basada exclusivamente en un tratamiento automatizado que genere efectos jurídicos o de importancia similar. En los casos en que se utilice la moderación automatizada, se podrá solicitar una revisión humana.

7. Servicios de terceros y transferencias internacionales

Recurrimos a proveedores de servicios externos para gestionar la plataforma. Cada uno de ellos actúa como encargado del tratamiento de datos, de conformidad con el artículo 28 del RGPD:

  • Stripe (EE. UU./UE): Procesamiento de pagos, incorporación de vendedores a Stripe Connect, verificación de cuentas conectadas y pagos. Stripe gestiona los datos de las tarjetas de pago de conformidad con la norma PCI-DSS. No almacenamos números de tarjeta.
  • Brevo (Francia/UE): Envío principal de correos electrónicos transaccionales para confirmaciones, notificaciones y comunicaciones relacionadas con la cuenta.
  • Cloudflare (EE. UU./UE): Alojamiento web (Pages y Workers), protección contra ataques DDoS, base de datos en el borde (D1), almacenamiento de imágenes (R2) e infraestructura de chat en tiempo real (Durable Objects).
  • Google (Firebase Auth y Gemini AI) (EE. UU./UE): Autenticación y generación de anuncios mediante IA.
  • OpenAI (EE. UU.): Proveedor de IA de reserva para la generación de anuncios.
  • Google Analytics (EE. UU./UE): análisis del uso del sitio web, únicamente con consentimiento explícito.
  • PostHog (UE): análisis de producto y seguimiento de eventos para comprender el comportamiento de los usuarios y el rendimiento de la plataforma. Los datos se alojan en la UE (Fráncfort). El procesamiento se basa en el consentimiento explícito (art. 6, apartado 1, letra a)).
  • Google Cloud Translation (EE. UU./UE): Traducción automática de mensajes de chat y contenido de anuncios. El texto del mensaje se envía a la API de Google Cloud Translation para su procesamiento. Las traducciones se almacenan en caché en nuestra base de datos para reducir la repetición de llamadas a la API.
  • DeepL (Alemania/UE): proveedor principal de traducción para el contenido de los anuncios y los mensajes de chat a los idiomas admitidos (italiano, español, portugués). El texto del mensaje se envía a la API de DeepL para su procesamiento. DeepL procesa los datos dentro de la UE.
  • OneSignal (EE. UU./UE): Envío de notificaciones push para las aplicaciones de iOS y Android. Tu ID de usuario y el token push del dispositivo se comparten con OneSignal para la entrega de notificaciones. Las transferencias fuera del EEE están cubiertas por las Cláusulas Contractuales Tipo (SCC).
  • MaltaPost (Malta): Generación de etiquetas de envío y seguimiento de paquetes para pedidos que utilicen el método de entrega en punto de recogida. MaltaPost recibe los nombres del comprador y del vendedor, las direcciones de entrega y los números de teléfono necesarios para realizar el envío.
  • Apple (EE. UU.): Autenticación mediante Sign in with Apple en dispositivos iOS. Apple facilita tu nombre y dirección de correo electrónico durante el inicio de sesión. La política de privacidad de Apple rige cómo Apple procesa tus credenciales.
  • Shopify, WooCommerce, Wix, Squarespace (varios): Integración de tienda para vendedores que importan productos desde sus propias tiendas de comercio electrónico. Cuando conectas una tienda, los datos de producto (nombres, precios, imágenes, inventario) se sincronizan entre la tienda externa y Thrifted.mt utilizando tu autorización OAuth. No se comparten datos a menos que conectes explícitamente tu tienda.
  • Resend (EE. UU.): Envío secundario de correos electrónicos transaccionales utilizado como alternativa cuando el proveedor principal no puede entregar, por ejemplo, a direcciones de Apple Private Relay (privaterelay.appleid.com), determinados correos de resumen y notificaciones administrativas internas. Las direcciones de correo electrónico del destinatario y el contenido del mensaje se envían a Resend para su procesamiento. Las transferencias fuera del EEE están cubiertas por el Marco de Protección de Datos UE-EE. UU. o por las Cláusulas Contractuales Tipo (SCC).
  • OpenSanctions (UE): Control de sanciones y contra el blanqueo de capitales cuando esté habilitado o sea necesario. El nombre y la fecha de nacimiento pueden cotejarse con listas de sanciones internacionales y bases de datos de personas políticamente expuestas (PEP) para cumplir la Ley de Prevención del Blanqueo de Capitales de Malta.

Cuando los datos se transfieren fuera del EEE, nos basamos en garantías adecuadas, como el Marco de Protección de Datos UE-EE. UU., las cláusulas contractuales tipo (SCC) o el consentimiento explícito, según corresponda.

Los Acuerdos de Procesamiento de Datos (APD) con cada procesador están disponibles previa solicitud a [email protected].

8. Seguridad de los datos

Aplicamos las medidas de seguridad adecuadas para evitar que sus datos personales se pierdan accidentalmente, se utilicen, se acceda a ellos de forma no autorizada, se alteren o se divulguen. El acceso está limitado al personal y a terceros que tengan una necesidad empresarial de conocerlos.

8a. Notificación de violación de datos

En caso de violación de los datos personales que suponga un riesgo para sus derechos y libertades, lo notificaremos al Comisario de Información y Protección de Datos de Malta (IDPC) en un plazo de 72 horas a partir del momento en que tengamos conocimiento de la violación, tal como exige el artículo 33 del RGPD. Si es probable que la violación suponga un alto riesgo para sus derechos y libertades, también se lo notificaremos directamente sin demora indebida, como exige el artículo 34 del RGPD.

9. Tus derechos

En virtud del RGPD, tiene derecho a:

  • Solicitar el acceso a tus datos personales.
  • Solicitar la rectificación de tus datos personales.
  • Solicitar la supresión de tus datos personales (derecho al olvido).
  • Oponerse al tratamiento de sus datos personales.
  • Solicitar la limitación del tratamiento de sus datos personales. En relación con los registros heredados de verificación de identidad interna, esto significa que sus datos se conservan pero no se procesan hasta que se levante la restricción. Los datos de verificación de Stripe Connect se gestionan conforme a los propios procesos de restricción y cumplimiento de Stripe. Póngase en contacto con [email protected] para ejercer este derecho.
  • Solicitar la transferencia de tus datos personales (portabilidad de datos).
  • Retirar el consentimiento en cualquier momento cuando nos basemos en él.
  • Presentar una reclamación: Puede presentar una reclamación ante el Comisionado de Información y Protección de Datos de Malta (IDPC) si considera que sus datos personales han sido tratados de forma ilícita. Contacto: idpc.org.mto por correo postal a la Comisión de Información y Protección de Datos, Segunda planta, Airways House, High Street, Sliema SLM 1549, Malta.

10. Eliminación de la cuenta y datos conservados

Cómo solicitar la eliminación

  1. Inicia sesión y abre tu página de perfil.
  2. Ve a la sección «Zona de peligro».
  3. Selecciona «Solicitar eliminación de la cuenta».
  4. Escribe DELETE y confirma.

Si no puedes acceder a tu cuenta, envía un correo electrónico a [email protected] desde la dirección de correo electrónico asociada a tu cuenta.

Qué datos eliminamos

  • Datos de perfil (nombre, nombre de usuario, avatar, ubicación, fecha de nacimiento, IBAN y dirección de pagos).
  • Datos y documentos de verificación de identidad interna heredada que conservamos, cuando no exista un motivo legal de retención.
  • Elementos guardados y notificaciones de la cuenta.
  • Historial de promociones de anuncios y créditos promocionales gratuitos.
  • Visibilidad de los anuncios públicos (los anuncios se eliminan de las vistas del mercado).

Qué datos podemos conservar y por qué

  • Registros financieros: saldos de monederos, libro mayor de transacciones de monederos y registros de pedidos y pagos durante 10 años a partir de la fecha de la transacción.
  • Registros de fraudes y disputas: metadatos de las comunicaciones del mercado (remitente, destinatario, marca temporal, referencia del anuncio) y registros de moderación (ofertas, denuncias, disputas) durante un máximo de 6 años tras el cierre de la cuenta, o durante un periodo más largo cuando así lo exija la ley. El contenido de los mensajes se anonimiza inmediatamente al eliminarse la cuenta; solo se conservan los metadatos para la prevención del fraude y la resolución de disputas.
  • Identificadores para la prevención del fraude: Tu ID de usuario de Firebase y los metadatos de conexión (direcciones IP, huellas digitales del dispositivo) recopilados durante el inicio de sesión se conservan en el registro de la cuenta desactivada para que, si más adelante intentas iniciar sesión, podamos reconocer la cuenta como eliminada y prevenir la elusión de prohibiciones. Base jurídica: interés legítimo en la prevención del fraude (art. 17, apartado 3, letra e)).
  • Registros de seguridad y auditoría: metadatos de seguridad y auditoría durante un máximo de 7 años.
  • Fundamento jurídico para la conservación: obligación legal (art. 6, apartado 1, letra c), del RGPD) e intereses legítimos (art. 6, apartado 1, letra f), del RGPD).

Las cuentas eliminadas no pueden reactivarse. Si eliminas tu cuenta por error, ponte en contacto con [email protected] lo antes posible. Podemos intentar reactivar el registro de la cuenta en sí durante un máximo de 7 días mientras los datos de retención sigan disponibles, pero los anuncios, las fotos y el contenido de los mensajes se eliminan de forma permanente al enviar la solicitud y no pueden restaurarse.

11. Contacto

Si tiene alguna pregunta sobre esta política de privacidad o sobre nuestras prácticas en materia de privacidad, póngase en contacto con nosotros en [email protected].

Preferencias de cookies

Gestiona tu consentimiento para las cookies de análisis. Los cambios en tus preferencias se aplican de inmediato.

Estado actual:No establecido