Política de Privacidad
La presente Política describe cómo Covasa Suministros Automoción S.L. trata los datos personales recogidos a través del sitio web covasa.com y de la aplicación móvil Covasa para Android e iOS, en cumplimiento del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018 (LOPDGDD).
1. Responsable del tratamiento
Covasa Suministros Automoción S.L.
CIF: B18433961
Domicilio: Calle Real de Ánzola, 5 · 18291 Ánzola — Granada (España)
Teléfono: +34 958 461 040
Email de contacto en materia de protección de datos: info@covasa.com
2. Datos que tratamos en la web (covasa.com)
En función del uso de la web, podemos tratar:
- Datos identificativos: nombre, apellidos.
- Datos de contacto: email, teléfono.
- Datos de envío y facturación: dirección, código postal, localidad, CIF.
- Datos comerciales: pedidos, historial de compras, preferencias.
3. Datos que tratamos en la app móvil Covasa
La aplicación móvil Covasa (Android e iOS) trata, en lo referente a datos personales, lo siguiente. Todos los datos viajan cifrados mediante HTTPS / TLS 1.2+.
| Dato | Finalidad | Base jurídica | Destino |
|---|---|---|---|
| Email y contraseña | Registro y autenticación de la cuenta del usuario. | Ejecución de contrato (art. 6.1.b RGPD). | Firebase Authentication (Google) — proyecto covasa-b660b. |
| Número de teléfono | Segundo factor de autenticación (MFA) mediante SMS para proteger la cuenta. | Ejecución de contrato e interés legítimo en la seguridad de la cuenta. | Firebase Authentication (Phone Auth) y proveedor de SMS de Google. |
| Token de notificaciones push (FCM) | Enviar avisos relevantes para la cuenta del usuario (estado de pedidos, mensajes informativos). | Consentimiento del usuario (Android 13+ debe aceptar el permiso de notificaciones). | Google Firebase Cloud Messaging (entrega) y tabla device_tokens en el servidor de Covasa. |
| Ubicación aproximada o precisa (solo en primer plano) | Mostrar al usuario la delegación o almacén Covasa más cercano dentro de la app. | Consentimiento explícito del usuario. | No sale del dispositivo. Se procesa localmente; el servidor de Covasa no recibe la ubicación. |
| Imágenes de la cámara (escáner QR/EAN) | Decodificar códigos de barras / QR para localizar productos. | Consentimiento explícito (permiso de cámara). | No sale del dispositivo. Las imágenes se procesan en local y no se almacenan. |
| Datos de cuenta y empresa (código de cliente, razón social, dirección, CIF, tarifa) | Mostrar la información de la cuenta y permitir realizar pedidos con los datos fiscales correctos. | Ejecución de contrato. | Servidor de Covasa (ecom.covasa.org). |
| Pedidos, borradores de carrito y preferencias de canal de notificaciones | Gestionar pedidos en curso y enviar los avisos por el canal preferido (app, email, WhatsApp, Telegram). | Ejecución de contrato y consentimiento del usuario. | Servidor de Covasa. |
| Visitas a productos y categorías | Estadísticas internas y personalización del inicio ("más vistos por ti"). | Interés legítimo en mejorar el servicio. | Servidor de Covasa. |
| Versión de la app, plataforma y modelo de dispositivo | Diagnóstico técnico (detectar versiones obsoletas, errores). | Interés legítimo. | Servidor de Covasa. |
La app móvil no incluye SDKs de publicidad, no recoge identificadores publicitarios y no vende ni cede datos personales a terceros con fines comerciales.
4. Encargados de tratamiento y terceros
Para la prestación del servicio recurrimos a los siguientes subprocesadores, todos con garantías adecuadas (cláusulas contractuales tipo RGPD):
- Google Ireland Limited — Firebase Authentication, Cloud Messaging y entrega de SMS de MFA (servicios de Google).
- Redsys Servicios de Procesamiento, S.L. — pasarela de pago con tarjeta (solo en la web).
- Empresas de transporte contratadas para el envío de pedidos (solo datos de envío).
- Proveedor de hosting donde se alojan los servidores de Covasa, dentro del Espacio Económico Europeo.
No se ceden datos a terceros distintos de los anteriores, salvo obligación legal.
5. Cifrado y seguridad
Todas las comunicaciones entre la web, la app móvil y los servidores de Covasa, así como con los servicios de Google (Firebase Auth, FCM, SMS), se realizan sobre HTTPS con TLS 1.2 o superior. Las contraseñas se almacenan únicamente en Firebase Authentication, cifradas con funciones de hash; la app nunca guarda contraseñas en local.
Se aplican medidas técnicas y organizativas razonables para garantizar la confidencialidad, integridad y disponibilidad de los datos.
6. Plazos de conservación
- Tokens FCM (push): caducan automáticamente por rotación de Firebase si no se usan en aproximadamente 60 días.
- Datos de cuenta y empresa: mientras exista relación comercial; tras la baja, se conservan únicamente los necesarios para cumplir obligaciones legales.
- Pedidos y facturación: según la obligación de conservación contable y fiscal aplicable (mínimo 6 años, art. 30 Código de Comercio y normativa fiscal).
- Visitas a productos: tras la baja de la cuenta se anonimizan (se desvincula el identificador del usuario).
7. Derechos del usuario
Como titular de los datos, el usuario tiene derecho a:
- Acceso: saber qué datos suyos tratamos.
- Rectificación: corregir datos inexactos.
- Supresión: solicitar la eliminación de sus datos (ver sección 8).
- Oposición y limitación del tratamiento.
- Portabilidad: obtener una copia de sus datos en formato estructurado.
- Revocar consentimientos otorgados (por ejemplo, desactivando notificaciones o permisos del dispositivo en la propia app).
Para ejercer cualquiera de estos derechos basta con enviar un correo a info@covasa.com indicando el derecho que se desea ejercer y aportando una forma razonable de verificar la identidad. Responderemos en el plazo máximo de un mes.
El usuario tiene también derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) si considera que sus derechos no han sido atendidos.
8. Eliminación de cuenta y datos
¿Quieres eliminar tu cuenta de la app Covasa o de la web?
Hemos habilitado una página específica para solicitarlo de forma rápida y sin necesidad de iniciar sesión: https://covasa.com/eliminar-cuenta/
En esa página se detalla qué datos se eliminan (cuenta de usuario, datos de empresa asociados, tokens de notificaciones, preferencias) y cuáles se conservan por obligación legal (pedidos y facturación) y durante cuánto tiempo. El plazo máximo de respuesta es de 30 días.
9. Cookies
El uso de cookies en la web se detalla en la Política de Cookies. La aplicación móvil no usa cookies; emplea únicamente el almacenamiento local del dispositivo para guardar la sesión y las preferencias del usuario.
10. Menores de edad
Ni la web ni la app móvil están dirigidas a menores de edad. Covasa no recoge datos personales de menores de forma consciente. Si detectamos que se ha creado una cuenta a nombre de un menor, procederemos a su eliminación.
11. Transferencias internacionales
Los servicios de Google Firebase pueden implicar transferencias internacionales de datos fuera del Espacio Económico Europeo. Estas transferencias se realizan al amparo de las cláusulas contractuales tipo aprobadas por la Comisión Europea y, cuando proceda, los mecanismos del marco UE–EEUU de Privacidad de Datos (Data Privacy Framework).
12. Modificaciones
La presente Política puede actualizarse para reflejar cambios normativos o en los servicios prestados. La versión vigente es siempre la publicada en esta URL, con la fecha indicada en la parte superior.