Skip to content
Thrifted.mt LogoTHRIFTED.mt

Política de privacidad

Última actualización: marzo de 2026

1. Introducción

Bienvenido a Thrifted.mt. Respetamos tu privacidad y nos comprometemos a proteger tus datos personales. Esta política de privacidad explica cómo tratamos tus datos personales cuando visitas nuestro sitio web y te informa sobre tus derechos en materia de privacidad y cómo te protege la ley.

2. Responsable del tratamiento

El responsable del tratamiento de todos los datos personales tratados a través de Thrifted.mt es:

  • Entidad: Joshua Fielding (empresario individual), que opera bajo el nombre comercial Thrifted.mt
  • Dirección: 53 Triq Il-Lunzjata, Apartamento 3, Julian Flats, San Gwann SGN 1312, Malta
  • Correo electrónico: [email protected]

Si tiene alguna pregunta sobre el tratamiento de sus datos personales, póngase en contacto con nosotros en la dirección indicada anteriormente.

3. Datos que recopilamos

Podemos recopilar, utilizar, almacenar y transferir diferentes tipos de datos personales sobre usted, que se clasifican de la siguiente manera:

  • Datos de identidad: nombre, apellidos, nombre de usuario o identificador similar. En el caso de los vendedores que se sometan a la verificación de identidad, esto incluye también imágenes de documentos de identidad oficiales (véase la sección 5).
  • Datos de contacto: dirección de correo electrónico, dirección de entrega y número de teléfono.
  • Datos financieros: número de cuenta bancaria (IBAN) y datos de la tarjeta de pago. Tu IBAN se cifra cuando está almacenado y solo se utiliza para tramitar las retiradas de ganancias (véase la sección 5a). Los datos de la tarjeta de pago son procesados exclusivamente por Stripe y nunca los almacenamos.
  • Datos de transacciones: información sobre los pagos que has realizado y recibido, así como detalles de los productos que has comprado o vendido en nuestra plataforma.
  • Datos técnicos: dirección IP, datos de inicio de sesión, tipo y versión del navegador, configuración de zona horaria y ubicación, y sistema operativo y plataforma.
  • Datos de perfil: nombre de usuario, contraseña, compras o pedidos realizados por usted, intereses, preferencias y comentarios.
  • Contenido del anuncio: fotos del artículo, descripciones, precios y cualquier otra información que facilites al crear un anuncio.

Sólo recogemos los datos personales necesarios para los fines descritos en esta política. Siempre que es posible, utilizamos la anonimización o seudonimización para reducir la identificabilidad de los datos.

4. Cómo utilizamos tus datos y la base jurídica

Solo utilizamos tus datos personales cuando la ley nos lo permite. La base jurídica (conforme al artículo 6 del RGPD) para cada tipo de tratamiento es:

  • Creación de cuentas y autenticación: Ejecución de un contrato (art. 6, apartado 1, letra b)).
  • Tramitación de pedidos y pagos: cumplimiento del contrato (art. 6, apartado 1, letra b)).
  • Verificación de la identidad de los vendedores: cumplimiento del contrato (art. 6, apartado 1, letra b)) e interés legítimo en la prevención del fraude (art. 6, apartado 1, letra f)).
  • Creación de anuncios asistida por IA (Gemini/OpenAI): interés legítimo en la calidad de la plataforma (art. 6, apartado 1, letra f)). El tratamiento de las imágenes de tus anuncios mediante IA solo se lleva a cabo cuando utilizas explícitamente la función de autocompletado con IA o la carga masiva.
  • Detección automática de imágenes de archivo: interés legítimo en la integridad del mercado (art. 6, apartado 1, letra f)). Véase la sección 6a.
  • Comunicaciones de la plataforma (correos electrónicos, notificaciones): ejecución del contrato (art. 6, apartado 1, letra b)) para los mensajes transaccionales; interés legítimo (art. 6, apartado 1, letra f)) para las actualizaciones de la plataforma.
  • Análisis (Google Analytics, PostHog): Consentimiento (art. 6, apartado 1, letra a)), únicamente tras el consentimiento para el uso de cookies.
  • Prevención del fraude, gestión de reclamaciones, seguridad: interés legítimo (art. 6, apartado 1, letra f)).
  • Cumplimiento de la legislación y la normativa (conservación de registros financieros): Obligación legal (art. 6, apartado 1, letra c)).

5. Verificación de identidad

Para garantizar la seguridad del mercado, exigimos a los vendedores que verifiquen su identidad antes de poner artículos a la venta.

  • Recopilación: Recopilamos imágenes de documentos de identidad oficiales (pasaporte, documento nacional de identidad, permiso de conducir). Además, al subir las imágenes, usted da su consentimiento explícito conforme al RGPD y se registra la fecha y hora de dicho consentimiento.
  • Tramitación, revisión exclusivamente humana: Toda la verificación de identidad la lleva a cabo exclusivamente un miembro del equipo. No utilizamos bots, modelos de inteligencia artificial ni procesos de toma de decisiones automatizados para tramitar, revisar, aprobar o rechazar documentos de identidad.
  • Almacenamiento temporal: Una vez subido, tu documento se guarda en un almacenamiento temporal seguro y se elimina automáticamente al cabo de 24 horas.
  • Cifrado y archivo: Si se aprueba, el documento se cifra mediante AES-256-GCM y se traslada a un depósito de archivo de acceso restringido. Si se rechaza, el documento se elimina inmediatamente.
  • Conservación: Los documentos de identidad archivados se conservan hasta 180 días a partir de la fecha de verificación, tras lo cual se eliminan de forma definitiva. Puede solicitar su eliminación anticipada en cualquier momento a través de [email protected].
  • Registros de auditoría: Los registros de acceso relacionados con las acciones de verificación de identidad se conservan durante 7 años para cumplir con los requisitos legales y de prevención del fraude. Los registros contienen únicamente metadatos, nunca imágenes de los documentos.
  • Base jurídica: El tratamiento es necesario para la ejecución del contrato y por interés legítimo en la prevención del fraude.

5a. IBAN (número de cuenta bancaria)

Para que los vendedores puedan retirar sus ganancias, recopilamos y almacenamos un número de cuenta bancaria internacional (IBAN).

  • Recopilación: El IBAN se introduce de forma voluntaria en el perfil de tu cuenta. Solo es necesario para realizar retiradas de fondos.
  • Cifrado: Tu IBAN se cifra con AES-256-GCM inmediatamente al guardarlo y se almacena cifrado.
  • Acceso: Solo el personal autorizado de Thrifted.mt tiene acceso al IBAN descifrado para tramitar las retiradas de fondos.
  • Conservación: Tu IBAN se conserva mientras esté guardado en tu perfil. Puedes actualizarlo o eliminarlo en cualquier momento.
  • Base jurídica: El tratamiento es necesario para la ejecución del contrato (atender su solicitud de pago por las ventas).

6. Cookies y consentimiento

Utilizamos cookies para mejorar tu experiencia.

  • Cookies estrictamente necesarias: Son imprescindibles para el funcionamiento del sitio web (por ejemplo, para las sesiones de inicio de sesión y la seguridad). No requieren consentimiento.
  • Cookies de autenticación (Firebase): Utilizadas para mantener su sesión de inicio de sesión y autenticar las solicitudes de API. Son estrictamente necesarias y no requieren consentimiento.
  • Cookies de análisis (Google Analytics, PostHog): se utilizan para comprender cómo interactúas con el sitio web y mejorar la experiencia de la plataforma. No se instalan a menos que des tu consentimiento explícito a través de nuestro banner de cookies. Todos los datos de PostHog se procesan en la UE.

6a. Toma de decisiones automatizada

Utilizamos el tratamiento automatizado de forma limitada en los siguientes ámbitos:

  • Detección de imágenes de archivo: Las imágenes de los anuncios se evalúan automáticamente para determinar la probabilidad de que sean imágenes de archivo. Si la puntuación supera un umbral determinado, el anuncio puede ocultarse para su revisión manual o rechazarse. Puedes recurrir cualquier decisión de moderación automática a través de [email protected].
  • Generación de anuncios mediante IA: cuando utilices el autocompletado con IA o la carga masiva, es posible que tus imágenes se envíen a Google Gemini (o, en su defecto, a OpenAI) para sugerir contenido para los anuncios. Las sugerencias son meramente orientativas y deben ser revisadas por ti antes de su publicación.

De conformidad con el artículo 22 del RGPD, tiene derecho a no ser objeto de una decisión basada exclusivamente en un tratamiento automatizado que genere efectos jurídicos o de importancia similar. En los casos en que se utilice la moderación automatizada, se podrá solicitar una revisión humana.

7. Servicios de terceros y transferencias internacionales

Recurrimos a proveedores de servicios externos para gestionar la plataforma. Cada uno de ellos actúa como encargado del tratamiento de datos, de conformidad con el artículo 28 del RGPD:

  • Stripe (EE. UU./UE): Procesamiento de pagos. Stripe gestiona los datos de las tarjetas de pago de conformidad con la norma PCI-DSS. No almacenamos números de tarjeta.
  • Brevo (Francia/UE): Envío de correos electrónicos transaccionales para confirmaciones, notificaciones y comunicaciones relacionadas con la cuenta.
  • Cloudflare (EE. UU./UE): Alojamiento web, protección contra ataques DDoS y almacenamiento de imágenes (R2).
  • Google (Firebase Auth y Gemini AI) (EE. UU./UE): Autenticación y generación de listados mediante IA.
  • OpenAI (EE. UU.): Proveedor de IA de reserva para la generación de listados.
  • Google Analytics (EE. UU./UE): análisis del uso del sitio web, únicamente con consentimiento explícito.
  • PostHog (UE): análisis de producto y seguimiento de eventos para comprender el comportamiento de los usuarios y el rendimiento de la plataforma. Los datos se alojan en la UE (Fráncfort). El procesamiento se basa en el consentimiento explícito (Art. 6(1)(a)).
  • Google Cloud Translation (EE.UU./UE): Traducción automática de mensajes de chat y contenido de listas. El texto del mensaje se envía a la API de traducción de Google Cloud para su procesamiento. Las traducciones se almacenan en caché en nuestra base de datos para reducir la repetición de llamadas a la API.
  • MaltaPost (Malta): Generación de etiquetas de envío y seguimiento de paquetes para pedidos que utilicen el método de entrega en punto de recogida. MaltaPost recibe los nombres del comprador y del vendedor, las direcciones de entrega y los números de teléfono necesarios para realizar el envío.
  • OpenSanctions (UE): Control de sanciones y contra el blanqueo de capitales. El nombre y la fecha de nacimiento pueden cotejarse con listas de sanciones internacionales y bases de datos de personas políticamente expuestas (PEP) para cumplir la Ley de Prevención del Blanqueo de Capitales de Malta.

Cuando los datos se transfieren fuera del EEE, nos basamos en garantías adecuadas, como el Marco de Protección de Datos UE-EE. UU., las cláusulas contractuales tipo (SCC) o el consentimiento explícito, según corresponda.

Los Acuerdos de Procesamiento de Datos (APD) con cada procesador están disponibles previa solicitud a [email protected].

8. Seguridad de los datos

Aplicamos las medidas de seguridad adecuadas para evitar que sus datos personales se pierdan accidentalmente, se utilicen, se acceda a ellos de forma no autorizada, se alteren o se divulguen. El acceso está limitado al personal y a terceros que tengan una necesidad empresarial de conocerlos.

8a. Notificación de violación de datos

En caso de violación de los datos personales que suponga un riesgo para sus derechos y libertades, lo notificaremos al Comisario de Información y Protección de Datos de Malta (IDPC) en un plazo de 72 horas a partir del momento en que tengamos conocimiento de la violación, tal como exige el artículo 33 del RGPD. Si es probable que la violación suponga un alto riesgo para sus derechos y libertades, también se lo notificaremos directamente sin demora indebida, como exige el artículo 34 del RGPD.

9. Tus derechos

En virtud del RGPD, tiene derecho a:

  • Solicitar el acceso a tus datos personales.
  • Solicitar la rectificación de tus datos personales.
  • Solicitar la supresión de tus datos personales (derecho al olvido).
  • Oponerse al tratamiento de sus datos personales.
  • Solicitar la limitación del tratamiento de sus datos personales.
  • Solicitar la transferencia de tus datos personales (portabilidad de datos).
  • Retirar el consentimiento en cualquier momento cuando nos basemos en él.
  • Presentar una reclamación: Puede presentar una reclamación ante el Comisionado de Información y Protección de Datos de Malta (IDPC) si considera que sus datos personales han sido tratados de forma ilícita. Contacto: idpc.org.mto por correo postal a la Comisión de Información y Protección de Datos, Segunda planta, Airways House, High Street, Sliema SLM 1549, Malta.

10. Eliminación de la cuenta y datos conservados

Cómo solicitar la eliminación

  1. Inicia sesión y abre tu página de perfil.
  2. Ve a la sección «Zona de peligro».
  3. Selecciona «Solicitar eliminación de la cuenta».
  4. Escribe DELETE y confirma.

Si no puedes acceder a tu cuenta, envía un correo electrónico a [email protected] desde la dirección de correo electrónico asociada a tu cuenta.

Qué datos eliminamos

  • Datos de perfil (nombre, nombre de usuario, avatar, ubicación, fecha de nacimiento, IBAN).
  • Datos y documentos de verificación de identidad.
  • Elementos guardados y notificaciones de la cuenta.
  • Visibilidad de los anuncios públicos (los anuncios se eliminan de las vistas del mercado).

Qué datos podemos conservar y por qué

  • Registros financieros: saldos de monederos, libro mayor de transacciones de monederos y registros de pedidos y pagos durante 10 años a partir de la fecha de la transacción.
  • Registros de fraudes y disputas: registros de comunicación y moderación del mercado (incluidos mensajes, ofertas y denuncias) durante un máximo de 6 años tras el cierre de la cuenta, o durante un periodo más largo cuando así lo exija la ley.
  • Registros de seguridad y auditoría: metadatos de seguridad y auditoría durante un máximo de 7 años.
  • Fundamento jurídico para la conservación: obligación legal (art. 6, apartado 1, letra c), del RGPD) e intereses legítimos (art. 6, apartado 1, letra f), del RGPD).

Las cuentas eliminadas quedan desactivadas y no pueden seguir utilizándose con normalidad en la plataforma sin que el servicio de asistencia las revise.

11. Contacto

Si tiene alguna pregunta sobre esta política de privacidad o sobre nuestras prácticas en materia de privacidad, póngase en contacto con nosotros en [email protected].

Preferencias de cookies

Gestiona tu consentimiento para las cookies de análisis. Los cambios en tus preferencias se aplican de inmediato.

Estado actual:No establecido