← Volver al portal

Política de privacidad

Última actualización: 20 de junio de 2026

1. Responsable del tratamiento

Rocketplace Partners SL (en adelante, "Rocketplace") es una agencia española especializada en e-commerce que opera el portal SaaS "Rocketplace Portal". Esta política describe qué datos tratamos, con qué finalidad, cuánto tiempo los conservamos y los derechos que puedes ejercer, conforme al Reglamento General de Protección de Datos (RGPD) y demás normativa aplicable.

  • Identidad: Rocketplace Partners SL
  • CIF: B70768940
  • Dirección: Calle Xátiva 15 – 8A, 46005 Valencia, España
  • Correo electrónico de contacto: contacto@rocketplace.es

2. Qué datos tratamos

Tratamos dos categorías de datos, dependiendo de tu relación con nosotros:

2.1 Usuarios del portal (clientes y equipo interno)

  • Nombre, apellidos, email corporativo y avatar.
  • Datos profesionales necesarios para operar el portal: cliente al que perteneces, áreas a las que tienes acceso, rol asignado.
  • Datos generados por el uso del portal: reuniones, tareas, proyectos, mensajes en chats internos, documentos subidos.
  • Datos técnicos: dirección IP, user-agent del navegador, fecha y hora de sesión.

2.2 Datos derivados de plataformas Amazon (SP-API)

Cuando un vendedor ("seller") cliente nuestro autoriza a Rocketplace en Seller Central mediante el flujo OAuth de Amazon, accedemos exclusivamente a métricas agregadas y no personales de su cuenta:

  • Métricas de ventas por marketplace y día (total facturado, unidades vendidas, devoluciones).
  • Métricas de tráfico (sesiones, page views, porcentaje de Buy Box).
  • Métricas de rendimiento publicitario (gasto en PPC, ventas atribuidas, unidades).
  • Métricas de inventario y comisiones (FBA fees, referral fees, storage fees).
  • Estado de salud de la cuenta del seller (account health).

NO recibimos, almacenamos ni procesamos:

  • Nombres, emails, teléfonos o direcciones de los compradores finales del seller.
  • Mensajes entre comprador y vendedor.
  • Direcciones de envío o etiquetas de paquetes.
  • Cualquier dato que permita identificar individualmente a un comprador.

Adicionalmente, durante el flujo OAuth Amazon nos entrega un identificador público del seller (selling_partner_id) y un refresh token. El refresh token se cifra a nivel aplicación con AES-256-GCM antes de almacenarse — ver sección 5.

2.3 Datos derivados de TikTok Shop (API de socios)

Cuando un vendedor cliente nuestro autoriza a Rocketplace mediante el flujo OAuth de TikTok Shop, accedemos exclusivamente a datos de negocio agregados de su tienda:

  • Ventas y finanzas/liquidaciones (facturación, comisiones, importes netos).
  • Catálogo de productos.
  • Promociones y descuentos.
  • Devoluciones y reembolsos.
  • Estado de preparación y envío de los pedidos.

NO recibimos, almacenamos ni procesamos datos personales de los compradores del vendedor: hemos excluido deliberadamente el ámbito de información de pedidos que contiene datos personales (nombres, direcciones, teléfonos o mensajes de los compradores).

Durante el flujo OAuth, TikTok Shop nos entrega un identificador de la tienda (shop_cipher) y un refresh token, que se cifra a nivel aplicación con AES-256-GCM antes de almacenarse — ver sección 5.

3. Finalidades y base legal

3.1 Datos del portal

Tratamos los datos de usuarios del portal sobre la base legal de ejecución del contrato (art. 6.1.b RGPD) y, en algunos casos, interés legítimo en la mejora del producto (art. 6.1.f RGPD). Finalidades concretas:

  • Autenticación y gestión de sesiones.
  • Operativa de proyectos, reuniones, tareas, finanzas e incidencias.
  • Comunicaciones transaccionales por email (alertas).
  • Auditoría de seguridad y trazabilidad operativa.

3.2 Datos derivados de Amazon SP-API

Tratamos los datos agregados de Amazon sobre la base de la autorización expresa que el seller otorga mediante el flujo OAuth de Amazon Seller Central. Finalidad única: mostrar al propio seller sus métricas de rendimiento en dashboards del portal, generar alertas proactivas (caídas de ventas, ruptura de stock) e informes operativos para el equipo de Rocketplace asignado a su cuenta.

No usamos estos datos para perfilado comercial, no los cruzamos con datos de otros sellers, no los vendemos ni los compartimos con terceros con fines comerciales.

3.3 Datos derivados de TikTok Shop

Tratamos los datos de negocio de TikTok Shop sobre la base de la autorización expresa que el vendedor otorga mediante el flujo OAuth de TikTok Shop. Finalidad única: mostrar al propio vendedor sus métricas de rendimiento en dashboards del portal, generar alertas e informes operativos para el equipo de Rocketplace asignado a su cuenta. No usamos estos datos para perfilado, no los cruzamos entre clientes, no los vendemos ni los compartimos con terceros con fines comerciales.

4. Sub-procesadores

Para operar el portal nos apoyamos en los siguientes proveedores de infraestructura. Solo los dos primeros tienen acceso a datos derivados de Amazon SP-API:

ProveedorServicioDatos que recibe
Vercel Inc.Hosting y cómputo serverless (SOC 2 Type II)Tráfico HTTP, logs, variables de entorno cifradas
Supabase Inc.Base de datos PostgreSQL, autenticación, almacenamiento (SOC 2 Type II)Toda la base de datos, cifrada at rest con AES-256
ResendEmails transaccionalesEmails internos del equipo y notificaciones a clientes Rocketplace
GitHub Inc.Repositorio de código fuente y CICódigo fuente. NO secretos ni datos productivos
CloudflareDNSSolo zonas DNS

Vercel y Supabase mantienen sus propios programas de cumplimiento (SOC 2 Type II auditado) y cifrado en reposo y en tránsito por defecto.

5. Seguridad

Aplicamos medidas técnicas y organizativas adecuadas al estándar exigido por la Política de Protección de Datos (DPP) de Amazon SP-API:

  • Cifrado en tránsito: TLS 1.2+ obligatorio en todas las comunicaciones (navegador, base de datos, Amazon SP-API).
  • Cifrado at rest: AES-256 a nivel base de datos (gestionado por Supabase).
  • Cifrado app-level de credenciales sensibles: los refresh tokens de Amazon SP-API y de TikTok Shop se cifran adicionalmente con AES-256-GCM a nivel aplicación, usando una llave almacenada en una variable de entorno distinta del resto de credenciales. Un compromiso de la base de datos no es suficiente para extraer un token utilizable.
  • Aislamiento multi-tenant: Row-Level Security en la base de datos garantiza que cada cliente solo accede a sus propios datos. No depende del código de aplicación, sino de las políticas declaradas en PostgreSQL.
  • Control de acceso: el acceso a producción está restringido a dos empleados con autenticación multifactor obligatoria. Branch protection en el repositorio impide despliegues sin revisión.
  • Auditoría: cada acción sensible (OAuth, uso de credenciales de servicio, refresco de tokens, exports, retención) queda registrada en una bitácora inmutable accesible solo a administradores.
  • Gestión de vulnerabilidades: dependencias analizadas por GitHub Dependabot con SLAs por severidad. Secret scanning con push protection activado.

6. Plazos de conservación

  • Datos de usuarios del portal: mientras exista la relación contractual. Cuando un cliente cancela, aplicamos baja lógica (soft-delete) y conservamos los datos durante el periodo de prescripción legal aplicable (típicamente 5 años por exigencia mercantil) antes de purgar definitivamente.
  • Refresh tokens de Amazon: mientras la conexión esté activa. Al revocarla, se eliminan inmediatamente.
  • Tokens de TikTok Shop: mientras la conexión esté activa. Al desconectar la tienda o finalizar la relación, se eliminan.
  • Métricas agregadas de Amazon (no-PII): un máximo de 18 meses, en cumplimiento del requisito de retención de la DPP de Amazon. Tras ese plazo, las filas se eliminan físicamente (no anonimizadas) mediante un proceso automatizado mensual.
  • Datos agregados de TikTok Shop (no-PII): se conservan mientras la conexión esté activa; se eliminan al desconectar la tienda o al finalizar la relación contractual.
  • Bitácora de auditoría: 18 meses.

7. Derechos del usuario

Si eres usuario del portal o seller con una integración Amazon activa, puedes ejercer en cualquier momento los derechos reconocidos por el RGPD:

  • Acceso a los datos que tratamos sobre ti.
  • Rectificación de datos inexactos.
  • Supresión ("derecho al olvido"), sujeto a obligaciones legales de conservación.
  • Limitación del tratamiento.
  • Portabilidad: exportación de tus datos en formato común.
  • Oposición al tratamiento.
  • Retirada del consentimiento, cuando este sea la base legal.
  • Presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), www.aepd.es.

Para sellers con integración Amazon activa: la revocación del acceso es inmediata desde el portal pulsando "Desconectar de Amazon". En ese mismo instante se elimina el refresh token de Amazon y dejamos de tener cualquier capacidad técnica de seguir consultando sus datos a través de la SP-API.

Tras la desconexión, los datos históricos agregados pasan a un período de cuarentena de 28 días durante el cual quedan inaccesibles en todos los dashboards del portal. Durante ese período, el seller puede reactivar la conexión desde el portal si la desconexión fue accidental (la reactivación requiere volver a pasar el flujo OAuth de Amazon Seller Central). Si no se reactiva, un proceso automatizado elimina físicamente y de forma definitiva todos los datos y métricas históricas derivados de la SP-API asociados a ese seller, en un plazo máximo de 30 días desde la desconexión — en cumplimiento estricto de la Política de Protección de Datos de Amazon SP-API.

Para vendedores con integración TikTok Shop activa: puedes revocar el acceso en cualquier momento desde TikTok Shop. Al revocarlo, eliminamos el token de la tienda y dejamos de poder consultar sus datos a través de la API. Los datos históricos agregados se eliminan al desconectar la tienda o al finalizar la relación contractual.

Para ejercer cualquier derecho escríbenos a contacto@rocketplace.es indicando claramente cuál ejerces y, si es posible, adjuntando documento que acredite tu identidad. Respondemos en un máximo de 30 días.

8. Notificación de incidentes

En caso de incidente de seguridad que pudiera afectar a tus datos, notificaremos a las autoridades competentes (AEPD) en las 72 horas siguientes a su detección, conforme al art. 33 RGPD, y a los usuarios afectados sin dilación cuando aplique (art. 34 RGPD).

Para incidentes que afecten datos derivados de Amazon SP-API, notificamos adicionalmente a Amazon (security@amazon.com) en un plazo máximo de 24 horas tras la detección, según exigencias de la DPP.

Para incidentes que afecten datos derivados de TikTok Shop, notificamos a TikTok Shop y a los vendedores afectados sin dilación indebida tras la detección.

9. Transferencias internacionales

Nuestros sub-procesadores principales (Vercel, Supabase) operan parte de su infraestructura fuera del Espacio Económico Europeo. Las transferencias se amparan en una combinación de mecanismos legalmente reconocidos:

  • EU-U.S. Data Privacy Framework (DPF): tanto Vercel Inc. como Supabase Inc. están adheridos al Marco de Privacidad de Datos UE-EE.UU., certificado por el Departamento de Comercio de Estados Unidos y reconocido por la Comisión Europea como mecanismo válido de adecuación (Decisión de Adecuación de 10 de julio de 2023).
  • Cláusulas Contractuales Tipo (SCC): firmadas con cada proveedor como capa adicional de garantía.
  • Certificaciones SOC 2 Type II vigentes en ambos proveedores.

Puedes solicitar copia de los acuerdos escribiendo a contacto@rocketplace.es.

10. Cambios en esta política

Esta política puede actualizarse cuando cambie la normativa aplicable, los servicios prestados o los sub-procesadores. La fecha de última actualización aparece al inicio del documento. Cambios materiales se comunican por email a los usuarios afectados con al menos 15 días de antelación cuando sea razonablemente posible.